- 1springboot启动流程梳理
- 2【机器学习300问】70、向量化技术来计算神经网络时维度如何确保正确?
- 3数据结构——单链表基本操作的实现_输入无序的元素,分别建立两个有4个结点的有序单链表(无头结点)(显示排序后的链表)
- 4最长子字符串的长度(一)【华为OD机试JAVA&Python&C++&JS题解】_华为od机试 - 最长子字符串的长度(一)(java & js & python & c & c++
- 5基于Openmv的简单巡线(送药小车)_openmv巡线
- 6lgg7刷机包下载_LGG7One刷机包
- 7数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞复现_h2database漏洞
- 8Python人工智能--实现手写数字识别
- 9upload-labs
- 10SLAM导航机器人零基础实战系列:(三)感知与大脑——3.轮式里程计与运动控制_轮式里程计slam
实训二十四: 交换机单向访问控制的配置_vlan单向访问
赞
踩
一、实验目的
1、 了解实现单向访问控制;
二、应用环境
1、单 向 访 问 控 制 — 允 许 A 网段的用户可以访问 B 网段的 tcp 应用,而 B 网段不能访 问 A 网段的 tcp 应用。适用于某些有特殊要求的场合。 譬如:一个公司有财务部和业务部,财务部可以访问业务部的数据,但是不允许业务部 的机器访问财务部的数据。
三、实验设备
1、 DCN-CS6200 交换机 1 台
2、 PC 机 4 台
3、 Console 线 1 根
4、 直通网线若干根
四、实验拓扑
五、 实验要求
1、交换机划分为两个 VLAN,VLAN 100 和 VLAN 200:
2、 正确配置四台机器的 IP 地址,子网掩码和网关
3、PC2 可以访问到 FTP-SERVER1,但同时 PC1 不能访问到 FTP-SERVER2,实现了 VLAN200 到 VLAN100 的单向访问。
六、实验步骤
第一步:交换机全部恢复出厂设置,配置交换机 vlan 和端口
CS6200-28X-EI(config)#vlan 100
CS6200-28X-EI(config-vlan100)#switchport interface ethernet 1/0/1-12
CS6200-28X-EI(config-vlan100)#vlan 200
CS6200-28X-EI(config-vlan200)#switchport interface ethernet 1/0/9-16
CS6200-28X-EI(config-vlan200)#exit
- 1
- 2
- 3
- 4
- 5
第二步:给 vlan 接口配置 IP 地址
CS6200-28X-EI(config)#interface vlan 100
CS6200-28X-EI(config-if-vlan100)#ip add 192.168.100.1 255.255.255.0
CS6200-28X-EI(config-if-vlan100)#interface vlan 200
CS6200-28X-EI(config-if-vlan200)#ip add 10.10.10.1 255.255.255.0
- 1
- 2
- 3
- 4
第三步:创建 ACL
CS6200-28X-EI(config)#firewall enable !配置访问控制列表功能开启
CS6200-28X-EI(config)#ip access-list extended test
CS6200-28X-EI(config-ip-ext-nacl-test)#deny icmp 192.168.100.0 0.0.0.255 10.10.10.0 0.0.0.255 8 !192.168.100.0 网段 ping vlan 200 网段,ICMP 报文类型为 8 时(既 ICMP 报文为 Echo request)时会被拒绝,这样既实现了 ICMP 服务的单项控制。
CS6200-28X-EI(config)#interface ethernet 1/0/1-12
CS6200-28X-EI(config-if-port-range)#ip access-group test in !将所建立的访问列表应用到各个接口上
- 1
- 2
- 3
- 4
- 5
第四步:使用 ping 命令验证验证 PC 之间是否连通:
七、注意事项和排错
1、 在 DCRS-5526S/5512GC/3926S 上,只能做到基于 TCP 的单向访问控制.对于 UDP数据无法实现单向访问控制.
2、 此方法不会导致 DCRS-5526S/5512GC/3926S 受到 TCP SYN 攻击,因为交换机会直接拒绝这样的连接. 3、
TCP 三次握手建立过程: 当 TCP 连接启动时,源主机向目的主机发送TCP SYN 包,目的主机回应SYN ACK
包,源主机再向目的主机发送 ACK 确认包。这种机制被称为“TCP 三次握手”。
TCP A---------------------------------------------------TCP B
- CLOSED-------------------------------------------- LISTEN
- SYN-SENT --> -------------------<SEQ=100><CTL=SYN> --> SYNRECEIVED
- ESTABLISHED <-- -------------<SEQ=300><ACK=101<CTL=SYN,ACK> <-- SYN-RECEIVED
- ESTABLISHED -->------------- <SEQ=101><ACK=301><CTL=ACK> --> ESTABLISHED
- ESTABLISHED -->------------- <SEQ=101><ACK=301><CTL=ACK> --> ESTABLISHED Basic 3-Way Handshake for Connection Synchronization
八、 相关配置命令详解
- 配置 access-list
(1) 配置数字标准 IP 访问列表
(2) 配置数字扩展 IP 访问列表
(3) 配置命名标准 IP 访问列表
a) 创建一个命名标准 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c) 退出访问表配置模式
(4)配置命名扩展 IP 访问列表
a) 创建一个命名扩展 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c)退出访问表配置模式- 配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(default action)- 将 accessl-list 绑定到特定端口的特定方向
