1、單向和雙向訪問控制I. 單向訪問控制1功能需求及組網說明單向訪問控制配置環境參數PCA PCB和PCCS過交換機SwitchAA互連其中 PCA的 IP 地址為 10.1.1.2/24,PCB 的 IP 地址為 10.1.1.3/24 ，PCC的 IP 地址為 10.1.1.4/24組網需求PCA PCB和PCC之間完成單向訪問，即 PCA可以訪問PCB PCC但是PCB PCC不能訪問PCA2數據配置步驟單向訪問控制流程單向訪問控制主要是針對有方向的數據包， 例如ICMF，TCP報文等，而對于沒有 方向的UDP報文，交換機暫時無法進行控制，所以如果要實現單向訪 問控制就 簡單等同于對ICMP

2、和TCP報文的控制。如果要對 UDP報文進行控制，必須知道 UDP報文的端口號。目前也只有E系列交換機、8016、6506和5516能夠實現這 種組網，以下按產品分別舉例（S8016的配置這里略去）。【3526E配置方法】1 ICMP報文控制PCA與交換機的eO/1端口相連，配置如下：1. 配置二層訪問控制規則SwitchAacl number 1OO2. 配置二層訪問控制子規則，禁止從任何端口的入報文出端口到eO/1SwitchA-acl-link-1OOrule deny icmp source 1.1.1.1 O destination1.1.1.2 O icmp-type echo3.

3、 激活該規則SwitchApacket-filter ip-group 1OOTCPM文單向訪問控制1. 配置三層訪問控制規則SwitchAacl number 1OO2. 主機ip地址為1.1.1.1的PC無法向1.1.1.2 的PC發起TCP連接建立請求SwitchA-acl-adv-1OOrule deny tcp established source 1.1.1.1 Odestination 1.1.1.2 O3. 激活該規則SwitchApacket-filter ip-group 1OO【 65O6 配置方法】ICMP報文控制PCA與交換機的e4/0/1端口相連，配置如下：1. 配

4、置擴展訪問控制規則SwitchAacl number 1002. 配置擴展訪問控制子規則，禁止 1.1.1.1 Ping 通1.1.1.23. 進入端口視圖SwitchA-acl-adv-100int e4/0/14. 激活該規則SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 0Tcprn文單向訪問控制PCA與交換機的e4/0/1端口相連，配置如下：1. 配置擴展訪問控制規則SwitchAacl number 1002. 主機ip地址為1.1.1.1 的PC可以pi ng通1.1.1.2 的PC但是不能通過網上 鄰居查

5、找到 1.1.1.2 ，反之則可以SwitchA-acl-adv-100 rule 1 deny tcp established source 1.1.1.1 0destination 1.1.1.2 03. 進入端口視圖 SwitchA-acl-adv-100int e4/0/14. 激活該規則SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 1【 5516 配置方法】ICMP報文控制PCA與交換機的e0/1端口相連，配置如下：1. 配置二層訪問控制規則SwitchAacl number 100配置訪問控制子規則，禁止

6、主機 pcb 訪問 pcaSwitchA-acl-link-100rule deny icmp source 1.1.1.3 0 destination1.1.1.3 0Se rver 1-i .-Port 23Port 242. 配置訪問控制子規則，禁止主機 pcc訪問pea SwitchA-acl-li nk-100rule deny icmp source 1.1.1.4 0 dest in ati on1.1.1.2 03. 激活該規則SwitchApacket-filter ip-group 100TCPrn文單向訪問控制1. 配置三層訪問控制規則SwitchAacl number

7、1002. 主機ip地址為1.1.1.3 的PC可以pi ng通1.1.1.2 的PC但是不能通過網上 鄰居查找到1.1.1.2，反之則可以SwitchA-acl-adv-100ruledeny tcp source 1.1.1.3 0 destination1.1.1.20 destination-port eq 1393. 激活該規則SwitchApacket-filter ip-group 1002. 雙向訪問控制1功能需求及組網說明Server 2、SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-

8、interface20ip address 10.20.1.1 255.255.0.0、Vian 1Cj_JIV Vian 20 JPortsPort1ort2 PSwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0雙向訪問控制SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0配置環境參數 說明：通過配置三層交換機的 acl 來實現 vlan 之間的訪問控制組網需

9、求需求：組網和 vlan 分配如圖所示，要求 vlan 10、20、30 均可以訪問 server 1， 但是只有 vlan 10 和 vlan 20 可以訪問 server 2 ，同時 vlan 10 、20、30 之間 不能互訪。2數據配置步驟交換機雙向訪問控制流程如果是低端交換機同一網段內的雙向訪問控制，也可以通過端口的 hybrid 屬性 來實現，具體的內容可以參考關于端口 bybrid 屬性的配置部分。【3526E配置方法】基礎配置1. 創建（進入） vlan10SwitchA vlan 102. 創建（進入） vlan10 的虛接口SwitchA interface Vlan-in

10、terface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創建（進入） vlan20SwitchA vlan 205. 創建（進入） vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址7. 創建（進入） vlan30SwitchA vlan 308. 創建（進入） vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30

11、的虛接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 創建（進入） vlan100SwitchA vlan 10011. 創建（進入） vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 創建（進入） vlan200SwitchA vlan 20014. 創建（進入） vlan200 的虛

12、接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0訪問控制配置1. 配置 ACLSwitchA acl num 100配置 acl 訪問控制列表禁止網段 10.10.0.0 訪問網段 10.20.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.00.0.255.2550.0.255.2550.0.255.2550.0.255.2550.

13、0.255.2550.0.255.2550.0.255.255SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.20.1.1 0.0.255.2552. 禁止網段 10.10.0.0 訪問網段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.30.1.1 0.0.255.2553. 禁止網段 10.20.0.0 訪問網段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.2

14、0.1. destination 10.10.1.1 0.0.255.2554. 禁止網段 10.20.0.0 訪問網段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.20.1. destination 10.30.1.1 0.0.255.2555. 禁止網段 10.30.0.0 訪問網段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.10.1.1 0.0.255.2556. 禁止網段 10.30.0.0 訪問網段 10.20.0.0Swit

15、chA-acl-adv-100rule deny ip source 10.30.1. destination 10.20.1.1 0.0.255.2557. 禁止網段 10.30.0.0 訪問網段 10.200.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.200.1.1 0.0.255.2558. 下發訪問控制列表SwitchApacket-filter ip 100【 6506 配置方法】基礎配置1. 創建（進入） vlan10SwitchA vlan 102. 創建（進入） vlan10 的虛接口Sw

16、itchA interface Vlan-interface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創建（進入） vlan20SwitchA vlan 205. 創建（進入） vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 創建（進入） vlan30Swit

17、chA vlan 308. 創建（進入） vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30 的虛接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 創建（進入） vlan100SwitchA vlan 10011. 創建（進入） vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址SwitchA-Vlan-interface100ip addres

18、s 10.100.1.1 255.255.0.013. 創建（進入） vlan200SwitchA vlan 20014. 創建（進入） vlan200 的虛接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0訪問控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 訪問控制列表禁止網段 10.10.0.0 訪問網段 10.20.0.0 SwitchA-acl-adv-100

19、rule 0 deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 訪問控制列表禁止網段 10.10.0.0 訪問網段 10.30.0.0 SwitchA-acl-adv-100rule 1 deny ip source 10.10.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2554. 配置acl訪問控制列表禁止網段10.20.0.0訪問網段10.10.0.0SwitchA-acl-adv-100rule 2 deny ip source 10

20、.20.1.1 0.0.255.255destination 10.10.1.1 0.0.255.2555. 配置 acl 訪問控制列表禁止網段 10.20.0.0 訪問網段 10.30.0.0 SwitchA-acl-adv-100rule 3 deny ip source 10.20.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2556. 配置 acl 訪問控制列表禁止網段 10.30.0.0 訪問網段 10.10.0.0 SwitchA-acl-adv-100rule 4 deny ip source 10.30.1.1 0.0.255.25

21、5destination 10.10.1.1 0.0.255.2557. 配置 acl 訪問控制列表禁止網段 10.30.0.0 訪問網段 10.20.0.0 SwitchA-acl-adv-100rule 5 deny ip source 10.30.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2558. 配置 acl 訪問控制列表禁止網段 10.30.0.0 訪問網段 10.200.0.0SwitchA-acl-adv-100rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 10.2

22、00.1.1 0.0.255.255進入端口視圖SwitchAint e4/0/19. 下發訪問控制列表SwitchApacket-filter inbound ip 100 not-care-for-interface【 5516 配置方法】基礎配置1. 創建（進入） vlan10SwitchA vlan 102. 創建（進入） vlan10 的虛接口SwitchA interface Vlan-interface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創建（進

23、入） vlan20SwitchA vlan 205. 創建（進入） vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 創建（進入） vlan30SwitchA vlan 308. 創建（進入） vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30 的虛接口配置 IP 地址 SwitchA-Vlan-interface30ip a

24、ddress 10.30.1.1 255.255.0.010. 創建（進入） vlan100SwitchA vlan 10011. 創建（進入） vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址 SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 創建（進入） vlan200SwitchA vlan 20014. 創建（進入） vlan200 的虛接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址 SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0 訪問控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 訪問控制列表禁止網段 10.10.0.0 訪問網段 10.20.0.0 SwitchA-acl-adv-100rule deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 訪問控制列表禁止網段 10.10.0.0 訪問網段 10.30