《2022年神州数码交换机共享 .pdf》由会员分享,可在线阅读,更多相关《2022年神州数码交换机共享 .pdf(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、标准的 AClACL (Access Control Lists) 是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。通过 ACL ,可以限制某个IP 地址的 PC 或者某些网段的PC 的上网活动允许通过( permit)或拒绝通过(deny)第一步:交换机全部恢复出厂设置,在交换机中创建vlan100 和vlan200 ,并添加端口。交换机 B:switchB(Config)#vlan 100 switchB(Config-Vlan100)#switchport interface ethernet 0/0/1-8 s
2、witchB(Config-Vlan100)#exit switchB(Config)#vlan 200 switchB(Config-Vlan200)#switchport interface ethernet 0/0/9-16 switchB(Config-Vlan200)#exit 第二步:设置交换机trunk 端口交换机 B:switchB(Config)#interface ethernet 0/0/24 switchB(Config-Ethernet0/0/24)#switchport mode trunk switchB(Config-Ethernet0/0/24)#switch
3、port trunk allowed vlan all switchB(Config-Ethernet0/0/24)#exit 交换机 A:switchA(Config)#vlan 100 switchA(Config-Vlan100)#exit switchA(Config)#vlan 200 switchA(Config-Vlan200)#exit switchA(Config)#interface ethernet 1/1 switchA(Config-Ethernet1/1)#switchport mode trunk switchA(Config-Ethernet1/1)#switc
4、hport trunk allowed vlan all switchA(Config-Ethernet1/1)#exit 第三步:交换机A 添加 vlan 地址。switchA(Config)#int v 100 switchA(Config-If-Vlan100)#ip ad 192.168.100.1 255.255.255.0 switchA(Config-If-Vlan100)#no shut switchA(Config-If-Vlan100)#exit switchA(Config)#int v 200 switchA(Config-If-Vlan200)#ip address
5、192.168.200.1 255.255.255.0 switchA(Config-If-Vlan200)#no shut switchA(Config-If-Vlan200)#exit 第四步:不配置ACL 验证实验。验证 PC1 和PC2 之间是否可以ping 通第五步:配置配置访问控制列表方法 1:配置命名标准IP 访问列表switchA(Config)#ip access-list standard test创建一条名为 test 的命名扩展 IP 访问列表switchA(Config-Std-Nacl-test)#deny 192.168.100.11 255.255.255.25
6、5拒绝源地址为广播地址的数据包通过switchA(Config-Std-Nacl-test)#deny 192.168.200.11 0.0.0.0拒绝源地址为广播地址的数据包通过switchA(Config-Std-Nacl-test)#exit 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 7 页 - - - - - - - - - switchA(Config)# switchA#show access-lists方法 2: 配置数字标准 IP 访问列表switc
7、hA(Config)#access-list 11 deny 192.168.100.11 0.0.0.255创建一条数字标准IP 访问列表switchA(Config)#access-list 11 deny 192.168.200.11 0.0.0.0 第六步:配置访问控制列表功能开启,默认动作为全部开启switchA(Config)#firewall enable允许防火墙起作用switchA(Config)#firewall default permit允许数据包通过switchA(Config)# switchA#show firewall 第七步:绑定 ACL 到各端口switch
8、A(Config)#interface ethernet 1/1 switchA(Config-Ethernet1/1)#ip access-group test in将名为 test的访问列表绑定到端口的入口方向上switchA#show access-group注意事项和排错1、 对ACL 中的表项的检查是自上而下的,只要匹配一条表项,对此ACL 的检查就马上结束。2、 端口特定方向上没有绑定ACL 或没有任何 ACL 表项匹配时,才会使用默认规则。3、 firewall default 命令只对所有端口入口的IP 数据包有效,对其它类型的包无效。4、 一个端口可以绑定一条入口ACL 。f
9、irewall enable | disable 功能:允许防火墙起作用或禁止防火墙起作用。参数: enable 表示允许防火墙起作用;disable 表示禁止防火墙起作用。firewall default permit | deny 功能:设置防火墙默认动作。参数:permit 表示允许数据包通过;deny 表示拒绝数据包通过。ip access extended 功能: 创建一条命名扩展IP 访问列表; 本命令的 no 操作为删除此命名扩展IP 访问列表 (包含所有表项)。参数: 为访问表标名,字符串长度为1-8, 不允许为纯数字序列。Switch(Config)#ip access-li
10、st extended tcpFlow 创建一条名为 tcpFlow 的命名扩展 IP 访问列表。ip access-group in|out 功能:在端口的入口方向上应用一条access-list参数: 为命名访问表的名字,字符串长度为1-8。Switch(Config-Ethernet1/1)#ip access-group aaa in 将名为 aaa 的访问列表绑定到端口的入口方向上deny | permit | any-source | host-source 功能:创建一条命名标准IP 访问规则( rule)参数:为源 IP 地址,格式为点分十进制;为源 IP 的反掩码,格式为点分
11、十进制。Switch(Config)# ip access-list standard ipFlow Switch(Config-Std-Nacl-ipFlow)# permit 10.1.1.0 0.0.0.255允许源地址为 10.1.1.0/24 的数据包通过Switch(Config-Std-Nacl-ipFlow)# deny 10.1.1.0 0.0.255.255拒绝源地址为10.1.1.0/16 的数据包通过。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共
12、 7 页 - - - - - - - - - 交换机 DHCP 服务器的配置将支持 DHCP的交换机配置成DHCP 服务器。DHCP 服务包括 DHCP 服务器功能和DHCP 中继的功能。当打开DHCP 服务时, DHCP 服务器功能和 DHCP 中继功能都被打开。只有打开DHCP 服务器功能, DCRS-7604才能给 DHCP 客户机分配IP 地址及开启 DHCP 的 RELAY 功能。DHCP 服务器配置任务序列1. 启动 /关闭 DHCP 服务器功能2. 配置 DHCP 地址池(1) 创建 /删除 DHCP 地址池(2) 配置动态 DHCP 地址池的参数(3) 配置手工 DHCP 地址
13、池的参数3. 启动记录地址冲突的日志功能4. 配置发 ping 包的个数和超时时间第一步:交换机全部恢复出厂设置,创建vlan100 和vlan200 。switch(Config)#vlan 100 switch(Config-Vlan100)#switchport interface ethernet 0/0/1-8!给 vlan100 加入端口 1-8switch(Config-Vlan100)#exit switch(Config)#vlan 200 switch(Config-Vlan200)#switchport interface ethernet 0/0/9-16!给 vlan
14、200 加入端口 9-16switch(Config-Vlan200)#exit第二步:给交换机设置IP 地址。switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 switch(Config-If-Vlan1)#no shutdown switch(Config)#interface vlan 100 switch(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0switch(Config-If-
15、Vlan100)#no shutdown switch(Config)#interface vlan 200 switch(Config-If-Vlan200)#ip address 192.168.200.1 255.255.255.0 switch(Config-If-Vlan200)#no shutdown 第三步:配置 DHCP switch(Config)#service dhcp ! 启用 DHCP switch(Config)#ip dhcp pool testA !定义地址池switch(dhcp-testA-config)#network-address 192.168.10
16、0.0 24配置地址池可分配的地址范围switch(dhcp-testA-config)#lease 3配置地址池中地址的租用期限switch(dhcp-testA-config)#default-router 192.168.100.1为DHCP 客户机配置缺省网关switch(dhcp-testA-config)#dns-server 192.168.1.1为DHCP 客户机配置 DNS 服务器switch(dhcp-testA-config)#exitswitch(Config)#ip dhcp pool testB switch(dhcp-testB-config)#network-a
17、ddress 192.168.200.0 24 switch(dhcp-testB-config)#lease 1 switch(dhcp-testB-config)#default-router 192.168.200.1 switch(dhcp-testB-config)#dns-server 192.168.1.1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 7 页 - - - - - - - - - switch(dhcp-testB-config)#exit
18、 switch(Config)#第四步:验证实验。使用“ ipconfig/renew”命令在 PC 的dos 命令行中检查是否得到了正确的IP第五步:为特殊的PC 配置地址池switch(Config)#ip dhcp excluded-address 192.168.100.77 192.168.100.99 排除地址池中的不用于动态分配的地址switch(Config)#ip dhcp pool testC switch(dhcp-testC-config)#host 192.168.100.88在手工绑定地址时,配置分配给指定客户机的用户的 IP 地址switch(dhcp-testC
19、-config)#hardware-address 00-a0-d1-d1-07-ff在手工分配地址时,绑定用户的硬件地址。switch(dhcp-testC-config)#default-router 192.168.100.1 switch(dhcp-testC-config)#exit第六步:验证实验。使用“ ipconfig/renew”命令在 PC 的dos 命令行中检查是否得到了正确的IP注意事项和排错1、 先启动 DHCP 服务器;2、 DHCP 客户机连接在交换机上,却获得不到IP 地址。遇到这种情况请检测DHCP Server 内是否有与交换机 VLAN 接口在一个网段的地
20、址池,如没有则请添加该网段的地址池;3、 在DHCP 服务中,动态分配IP 地址与手工分配IP 地址的地址池是互斥的,即如果在一个地址池执行命令 network 和命令 host 时,只能有一个生效;并且在手工地址池中一个地址池内只能配置一对 IP-MAC 的绑定,如果需要建立多对绑定,可以建立多个手工地址池,在每个地址池分别配置IP-MAC 的绑定,否则在同一地址池内配置新的配置会覆盖旧的配置。启动/关闭DHCP 服务全局配置模式service dhcp启动 DHCP 服务器功能 。配置DHCP 地址池(1)创建 /删除 DHCP 地址池全局配置模式ip dhcp pool 配置 DHCP
21、地址池,进入dhcp 地址池模式(2)配置动态 DHCP 地址池的参数DHCP 地址池配置模式network-address mask | prefix-length 配置地址池可分配的地址范围。default-routeraddress1address2 address8为DHCP 客户机配置缺省网关。缺省网关的 IP 地址应与 DHCP 客户机的 IP 地址在一个子网网段内,交换机最多可支持8 个网关地址,最先设置的网关地址优先级最高,因此address1 优先级最高,dns-serveraddress1address2 address8为DHCP 客户机配置 DNS 服务器。domain
22、-name 为DHCP 客户机配置域名;本命令的 no 操作为删除域名。SWITCH(dhcp-1-config)#domain-name 指定 DHCP 客户机的域名为 netbios-name-serveraddress1address2 address8 配置 Wins 服务器的地址。netbios-node-type b-node|h-node|m-node|p-node|配置DHCP 客户机的节点类型。参数: b-node 为广播型; h-node 为先点对点后广播的混合型;m-node 为先广播后点对点的混合型; p-node 为点对点型; 为节点类型的十六进值表示法,取值范围为0
23、FF。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 7 页 - - - - - - - - - SWITCH(dhcp-1-config)#netbios-node-type b-node 地址池 1 的客户机的节点类型为广播型bootfile 配置 DHCP 客户机的启动时的导入文件名。为导入文件的名字,最长不超过128 个字节。SWITCH(dhcp-1-config)#bootfile c:tempnos.img 导入文件地址及文件名为c:tempnos.img
24、next-serveraddress1address2 address8配置客户机导入文件存放的服务器地址。SWITCH(dhcp-config)#next-server 10.1.128.4 文件存放的服务器地址为10.1.128.4。option ascii | hex | ipaddress 配置 option 所指定代码的网络参数的值。lease days hoursminutes | infinite 配置地址池中地址的租用期限。SWITCH(dhcp-1-config)#lease 3 12 30 DHCP 地址池 1 的租期设置为 3 天12 个小时 30 分钟。全局配置模式ip
25、 dhcp excluded-address 排除地址池中的不用于动态分配的地址。使用本命令可以将地址池中的一个地址或连续的几个地址排除,这些地址由系统管理员留作其它用途。(3)配置手工 DHCP 地址池的参数DHCP 地址池配置模式hardware-address Ethernet | IEEE802| 在手工分配地址时,指定用户的硬件地址。本命令在手工绑定地址时结合命令host 一起使用。当发出请求的客户机的硬件地址恰好和指定的硬件地址相吻合,DHCP 服务器就将 host 命令中定义的 IP 地址分配给客户机。举例:手工绑定时,将IP 地址 10.1.128.160 与硬件地址为00-0
26、0-e2-3a-26-04 的用户绑定。SWITCH(dhcp-1-config)#hardware-address 00-00-e2-3a-26-04 SWITCH(dhcp-1-config)#host 10.1.128.160 24host | 在手工绑定地址时,配置分配给指定客户机的用户的IP 地址。 为IP 地址,点分十进制格式;为掩码,点分十进制格式;为用前缀表示法,如掩码为255.255.255.0 用前缀法表示为“ 24”,掩码为 255.255.255.252 用前缀法表示为“30”。本命令在手工绑定地址时结合hardware-address 命令或者 client-iden
27、tifier 命令一起使用。当发出请求的客户机的标识或硬件地址恰好和指定的标识或硬件地址相吻合,DHCP 服务器就将 host 命令中定义的 IP 地址分配给客户机。举例:手工绑定时,将IP 地址 10.1.128.160 与硬件地址为00-10-5a-60-af-12 的用户绑定。SWITCH(dhcp-1-config)#hardware-address 00-10-5a-60-af-12 SWITCH(dhcp-1-config)#host 10.1.128.160 24client-identifier 在手工绑定地址时,指定用户的唯一标识。为用户的标识,格式为点分十六进值本命令在手工
28、绑定地址时结合命令host 一起使用。当发出请求的客户机的标识恰好和指定的标识相吻合, DHCP 服务器就将 host 命令中定义的 IP 地址分配给客户机。举例:手工绑定时,将IP 地址 10.1.128.160 与用户唯一标识为00-10-5a-60-af-12 的用户绑定。SWITCH(dhcp-1-config)#client-identifier 00-10-5a-60-af-12 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 7 页 - - - - - -
29、- - - SWITCH(dhcp-1-config)#host 10.1.128.160 24client-name 在手工绑定地址时,配置用户名。给手工绑定的设备配置用户名,在配置用户名时不应包括域名。举例:用户唯一标识为00-10-5a-60-af-12 的用户设置用户名为network 。SWITCH(dhcp-1-config)#client-name network启动记录地址冲突的日志功能全局配置模式ip dhcp conflict logging打开 DHCP 服务器检测地址冲突的日志功能。特权用户配置模式clear ip dhcp conflict 删除单条地址冲突的记录或全
30、部地址的冲突记录loghost dhcp 打开 DHCP 的日志功能,并且指定DHCP 日志主机的 IP 地址及端口号SWITCH(Config)#loghost dhcp 192.168.1.101 45打开 DHCP 日志功能, 日志主机为 192.168.1.101,端口号为 45。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 7 页 - - - - - - - - - 交换机 DHCP 中继当DHCP 客户机和 DHCP 服务器不在同一个网段时,由DHCP 中继
31、传递 DHCP 报文,同一个DHCP 服务器可以为很多个子网的客户机提供网络配置参数,其他交换机恢复出场设备,不作任何配置,当成HUB 来用第一步:交换机全部恢复出厂设置,创建vlan10 和vlan100 。第二步:给交换机设置IP 地址。第三步:配置 DHCP 中继switch(Config)#service dhcp switch(Config)#ip forward-protocol udp 67 配置 DHCP 中继转发 port 端口的 udp 广播报文,UDP 端口号为 67switch(Config)#interface vlan 10 switch(Config-If-Vla
32、n10)#ip helper-address 10.1.157.1指定 DHCP 中继转发的目标IP 地址switch(Config-If-Vlan10)#exit switch(Config)# 第四步:验证实验。使用“ ipconfig/renew”命令在 PC 的dos 命令行中检查是否得到了正确的IP.注意事项和排错若中间负责转发DHCP 报文的交换机、 路由器不具备DHCP 中继功能, 建议替换掉中间的设备或更新版本,使其具备DHCP 中继功能,才能正确进行这个功能。配置DHCP 中继转发 DHCP 广播报文全局配置模式ip forward-protocol udp 配置 DHCP
33、中继转发 port 端口的 udp 广播报文 UDP 端口号为 67 SWITCH(Config)#ip forward-protocol udp 69转发 tftp 包SWITCH(Config)#interface e 1/1 SWITCH(Config-Ethernet1/1)# ip helper-address 192.168.1.5,目的服务器地址为192.168.1.5接口配置模式ip helper-address 指定 DHCP 中继转发的目标IP 地址配置DHCP 中继转发其他 UDP 广播报文全局配置模式ip forward-protocol udp 通过配置 UDP 端口
34、,指定 DHCP 中继转发协议ip helper-address 指定 DHCP 中继转发的目标IP 地址禁止DHCP 中继转发 DHCP 广播报文全局配置模式ip dhcp relay information policy drop 三层交换机作为DHCP 中继时,配置中继的转发政策为不转发DHCP 报文SWITCH(Config)# ip dhcp relay information policy drop 关闭三层交换机DHCP 广播报文转发功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 7 页 - - - - - - - - -
黑公网安备:91230400333293403D