題主,你好。ensp高階acl禁用埠後,如何驗證生效?可以透過以下這個例項學習。
如圖所示,某企業透過Switch實現各部門之間的互連。企業透過Router連線網際網路,Router下聯Switch,研發部門劃分在SwitchA的VLAN10中,規劃為10.1.1.0/24網段。市場部門劃分在SwitchB的VLAN20中,規劃為10.1.2.0/24網段。現要求Switch能夠限制兩個網段之間互訪,不允許研發部門訪問市場部門歸檔在FTP伺服器的機密文件。這個例子,是需要透過acl來禁用FTP端口才能達到要求。
採用如下的思路在Switch上進行配置:
1. 配置介面所屬的VLAN以及介面的IP地址。
2. 配置高階ACL和ACL規則,拒絕研發部門訪問市場部門FTP伺服器的報文透過。
3. 配置基於ACL的流分類,對研發部門訪問市場部門FTP伺服器的報文進行過濾。
4. 配置流行為,拒絕匹配ACL的報文透過。
5. 配置流策略,繫結流分類和流行為。
6. 在介面上應用流策略,使ACL和流行為生效
步驟 1 配置介面所屬的VLAN以及介面的IP地址
# 建立VLAN10和VLAN20
<Switch> system-view
[Switch] vlan batch 10 20
# 配置Switch的介面GE0/0/1和GE0/0/2為trunk型別介面,並分別加入VLAN10和VLAN20
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
# 建立VLANIF10和VLANIF20,並配置各VLANIF介面的IP地址
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
步驟 2 配置ACL
# 配置高階ACL和ACL規則,拒絕研發部門訪問市場部門FTP伺服器的報文透過。
[Switch] acl 3001
[Switch-acl-adv-3001] rule 10 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 20
[Switch-acl-adv-3001] rule 15 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 21
[Switch-acl-adv-3001] rule 20 permit ip
[Switch-acl-adv-3001] quit
步驟 3 配置基於高階ACL的流分類
# 配置流分類tc1,對匹配ACL 3001的報文進行分類。
[Switch] traffic classifier tc1
[Switch-classifier-tc1] if-match acl 3001
[Switch-classifier-tc1] quit
步驟 4 配置流行為
# 配置流行為tb1,動作為拒絕報文透過。
[Switch] traffic behavior tb1
[Switch-behavior-tb1] deny
[Switch-behavior-tb1] quit
步驟 5 配置流策略
# 定義流策略,繫結流分類和流行為。
[Switch] traffic policy tp1
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1
[Switch-trafficpolicy-tp1] quit
步驟 6 在介面下應用流策略
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Switch-GigabitEthernet1/0/1] quit
步驟 7 驗證配置結果
# 檢視ACL規則的配置資訊。
[Switch] display acl 3001
Advanced ACL 3001, 3 rules
Acl"s step is 5
rule 10 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp-data (match-counter 0)
rule 15 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp (match-counter 0)
rule 20 deny ip (match-counter 0)
# 檢視流分類的配置資訊。
[Switch] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Operator: AND
Rule(s) : if-match acl 3001
Total classifier number is 1
# 檢視流策略的配置資訊。
[Switch] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Behavior: tb1
Deny
驗證:在SwitchA下面接的PC獲取的 VLAN10網段上與SwitchB下面接的PC獲取的 VLAN20通訊,兩個網段可以互相通訊訪問,但是研發部門10.1.1.0/24網段是不能訪問市場部門10.1.2.0/24歸檔FTP伺服器埠,所以擴充套件ACL生效。
題主,你好。ensp高階acl禁用埠後,如何驗證生效?可以透過以下這個例項學習。
如圖所示,某企業透過Switch實現各部門之間的互連。企業透過Router連線網際網路,Router下聯Switch,研發部門劃分在SwitchA的VLAN10中,規劃為10.1.1.0/24網段。市場部門劃分在SwitchB的VLAN20中,規劃為10.1.2.0/24網段。現要求Switch能夠限制兩個網段之間互訪,不允許研發部門訪問市場部門歸檔在FTP伺服器的機密文件。這個例子,是需要透過acl來禁用FTP端口才能達到要求。
使用高階ACL限制不同網段的使用者互訪示例一、配置思路採用如下的思路在Switch上進行配置:
1. 配置介面所屬的VLAN以及介面的IP地址。
2. 配置高階ACL和ACL規則,拒絕研發部門訪問市場部門FTP伺服器的報文透過。
3. 配置基於ACL的流分類,對研發部門訪問市場部門FTP伺服器的報文進行過濾。
4. 配置流行為,拒絕匹配ACL的報文透過。
5. 配置流策略,繫結流分類和流行為。
6. 在介面上應用流策略,使ACL和流行為生效
二、操作步驟步驟 1 配置介面所屬的VLAN以及介面的IP地址
# 建立VLAN10和VLAN20
<Switch> system-view
[Switch] vlan batch 10 20
# 配置Switch的介面GE0/0/1和GE0/0/2為trunk型別介面,並分別加入VLAN10和VLAN20
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
# 建立VLANIF10和VLANIF20,並配置各VLANIF介面的IP地址
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
步驟 2 配置ACL
# 配置高階ACL和ACL規則,拒絕研發部門訪問市場部門FTP伺服器的報文透過。
[Switch] acl 3001
[Switch-acl-adv-3001] rule 10 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 20
[Switch-acl-adv-3001] rule 15 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 21
[Switch-acl-adv-3001] rule 20 permit ip
[Switch-acl-adv-3001] quit
步驟 3 配置基於高階ACL的流分類
# 配置流分類tc1,對匹配ACL 3001的報文進行分類。
[Switch] traffic classifier tc1
[Switch-classifier-tc1] if-match acl 3001
[Switch-classifier-tc1] quit
步驟 4 配置流行為
# 配置流行為tb1,動作為拒絕報文透過。
[Switch] traffic behavior tb1
[Switch-behavior-tb1] deny
[Switch-behavior-tb1] quit
步驟 5 配置流策略
# 定義流策略,繫結流分類和流行為。
[Switch] traffic policy tp1
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1
[Switch-trafficpolicy-tp1] quit
步驟 6 在介面下應用流策略
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Switch-GigabitEthernet1/0/1] quit
步驟 7 驗證配置結果
# 檢視ACL規則的配置資訊。
[Switch] display acl 3001
Advanced ACL 3001, 3 rules
Acl"s step is 5
rule 10 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp-data (match-counter 0)
rule 15 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp (match-counter 0)
rule 20 deny ip (match-counter 0)
# 檢視流分類的配置資訊。
[Switch] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Operator: AND
Rule(s) : if-match acl 3001
Total classifier number is 1
# 檢視流策略的配置資訊。
[Switch] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: tc1
Operator: AND
Behavior: tb1
Deny
三、驗證配置----結束驗證:在SwitchA下面接的PC獲取的 VLAN10網段上與SwitchB下面接的PC獲取的 VLAN20通訊,兩個網段可以互相通訊訪問,但是研發部門10.1.1.0/24網段是不能訪問市場部門10.1.2.0/24歸檔FTP伺服器埠,所以擴充套件ACL生效。