ACL访问控制

news2024/11/26 6:18:58

要求:

  1. PC1与PC2不能通信
  2. PC1可以和PC3通信
  3. PC2可以和PC3通信

1. VLAN配置

根据拓扑图的连接,PC1、PC2、PC3属于不同的VLAN。我们需要确保交换机上的端口已经正确划分到不同的VLAN。假设交换机接口的VLAN配置已经完成(其他博文有):

  • PC1在VLAN10:interface Ethernet 0/0/1
  • PC2在VLAN20:interface Ethernet 0/0/2
  • PC3在VLAN30:interface Ethernet 0/0/3
  • interface Ethernet0/0/1
     switchport access vlan 10
     switchport mode access
    
    interface Ethernet0/0/2
     switchport access vlan 20
     switchport mode access
    
    interface Ethernet0/0/3
     switchport access vlan 30
     switchport mode access

    2. 路由器的接口配置(子接口配置)

    由于三台PC属于不同的网段,必须在路由器上为每个VLAN配置子接口,以实现VLAN间的通信。

  • interface GigabitEthernet0/0.10
     encapsulation dot1Q 10
     ip address 192.168.10.254 255.255.255.0
    
    interface GigabitEthernet0/0.20
     encapsulation dot1Q 20
     ip address 192.168.20.254 255.255.255.0
    
    interface GigabitEthernet0/0.30
     encapsulation dot1Q 30
     ip address 192.168.30.254 255.255.255.0

    3. 配置访问控制列表(ACL)

    为了实现PC1不能和PC2通信,但可以和PC3通信,以及PC2和PC3可以通信的要求,我们可以配置ACL。

    阻止PC1和PC2的通信:

    创建ACL来阻止PC1(192.168.10.1)与PC2(192.168.20.1)的通信。

    access-list 100 deny ip 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0
    access-list 100 permit ip any any

    将这个ACL应用在路由器的VLAN10子接口上:

    interface GigabitEthernet0/0.10
     ip access-group 100 in

    PC1可以和PC3通信:

    ACL默认会允许PC1和PC3通信,因为我们只阻止了PC1和PC2的通信,其他通信默认允许。

    PC2可以和PC3通信:

    同样的,PC2与PC3之间的通信不需要特别处理,只要不在ACL中阻止就可以了。因此,PC2和PC3之间的通信会被允许。

    总结:

  • VLAN配置:PC1、PC2、PC3被分别划分到VLAN10、VLAN20和VLAN30。
  • 路由配置:配置路由器子接口,使各个VLAN能够进行路由。
  • ACL配置:使用访问控制列表(ACL)阻止PC1与PC2的通信,而允许PC1与PC3、PC2与PC3的通信。

思考:如果三台PC属于同一个网段?

如果三台PC处于同一个网段(比如子网掩码为255.255.255.0,它们的网段范围是192.168.x.0/24,而IP地址分别是192.168.10.1192.168.20.1192.168.30.1),并且你打算使用VLAN来区分不同PC的网络隔离,那么路由器的配置主要围绕路由器上的子接口配置进行。

由于每个PC位于不同的VLAN(例如PC1在VLAN10、PC2在VLAN20、PC3在VLAN30),需要在路由器上为每个VLAN配置子接口,确保每个VLAN的流量可以通过路由器来进行互通。这样可以实现跨VLAN的通信控制。

以下是配置路由器子接口的具体命令。这里假设路由器的主接口为GigabitEthernet 0/0

1. 创建子接口并为每个VLAN分配IP地址

每个VLAN的子接口必须和VLAN对应。具体命令如下:

配置 VLAN 10 子接口(PC1所在的 VLAN)
interface GigabitEthernet 0/0.10
 encapsulation dot1Q 10            # 为 VLAN10 配置 802.1Q 封装
 ip address 192.168.10.254 255.255.255.0    # 为 VLAN10 的网关分配 IP 地址
配置 VLAN 20 子接口(PC2所在的 VLAN)
interface GigabitEthernet 0/0.20
 encapsulation dot1Q 20            # 为 VLAN20 配置 802.1Q 封装
 ip address 192.168.20.254 255.255.255.0    # 为 VLAN20 的网关分配 IP 地址
配置 VLAN 30 子接口(PC3所在的 VLAN)
interface GigabitEthernet 0/0.30
 encapsulation dot1Q 30            # 为 VLAN30 配置 802.1Q 封装
 ip address 192.168.30.254 255.255.255.0    # 为 VLAN30 的网关分配 IP 地址

2. 确保主接口没有 IP 地址

在配置子接口的同时,确保路由器的主接口上没有直接配置 IP 地址,因为所有 IP 地址应该配置在子接口上。

interface GigabitEthernet 0/0
 no ip address

3. 配置交换机的Trunk端口

为了确保交换机可以识别多个VLAN并将其传递给路由器,我们需要在交换机上配置Trunk端口。这些端口允许多个VLAN通过交换机和路由器之间的连接。

假设连接到路由器的交换机端口是GigabitEthernet 0/1,配置如下:

interface GigabitEthernet 0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30    # 允许 VLAN 10、20、30 通过

4. 路由器上配置静态路由(如果有必要)

如果你的拓扑中存在其他网络,需要让这些VLAN能够与其他网络通信,你可能还需要配置静态路由或动态路由协议。如果没有其他网络参与,则路由器内部会自动处理这些VLAN之间的路由,不需要额外配置。

5. ACL配置(如果需要通信控制)

为了满足你之前提到的通信要求,可以使用访问控制列表(ACL)来控制不同VLAN之间的通信。

阻止 PC1 与 PC2 之间的通信:
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip any any

应用 ACL 到路由器的接口上:

interface GigabitEthernet 0/0.10
 ip access-group 101 in

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2221096.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在VMware中安装LInux

1.打开VMware选择新建虚拟机 2.这里建议初学者选择“典型(推荐)”。 3.已提前准备好 Linux 系统的映像文件(.iso 文件),此处可选择“安装程序光盘映像文件”,并通过“浏览”按钮找到要安装 Linux 系统的 i…

“金秋敬老月 浓浓孝老情”2024中益孝行大爱进万家敬老月公益活动走进涿州

为贯彻实施积极应对人口老龄化国家战略,弘扬中华民族孝亲敬老传统美德,10月22日,中益老龄事业发展中心和涿州市东城坊镇人民政府在安享城养老院联合开展“金秋敬老月,浓浓孝老情”2024中益孝行大爱进万家敬老月公益活动。中益老龄…

android openGL ES详解——混合

一、混合概念 混合是一种常用的技巧,通常可以用来实现半透明。但其实它也是十分灵活的,你可以通过不同的设置得到不同的混合结果,产生一些有趣或者奇怪的图象。混合是什么呢?混合就是把两种颜色混在一起。具体一点,就…

《Python游戏编程入门》注-第2章2

《Python游戏编程入门》的“2.2.5 绘制线条”中提到了通过pygame库绘制线条的方法。 1 相关函数介绍 通过pygame.draw模块中的line()函数来绘制线条,该函数的格式如下所示。 line(surface, color, start_pos, end_pos, width1) -> Rect 其中,第一…

面试题:Redis(八)

1. 面试题 2. 锁的特性 单机版同一个jvm虚拟机内,synchronized或者Lock接口 分布式多个不同jvm虚拟机,单机的线程锁机制不再起作用,资源类在不同的服务器之间共享 一个靠谱分布式锁所需的条件 3. 手写分布式锁 3.1 独占性(线程安…

VScode运行C语言终端输出中文乱码问题解决方案

VScode运行C语言输出中文乱码问题解决方案 由于 VSCode 的终端是对系统的 cmd 命令行工具的调用,而 cmd 的默认编码为 GBK。当我们在 VSCode 中以 UTF-8 编码进行代码编写且代码里含有中文字符时,在终端运行代码便会出现中文乱码现象。要解决此问题&…

传统企业应该如何突破管理瓶颈?

传统企业应该如何突破管理瓶颈? 【导读】 作为传统企业,有很多传承的传统机制,然而在市场机制下,越来越能够深刻感受到外部市场变化快的特点,在逐步适应以市场为导向的环境下,传统企业自身如何做好管理工…

C/C++每日一练:实现一个环形队列

队列(queue) 队列是一种先进先出(FIFO,First In First Out) 的数据结构,类似于排队的场景。最先进入队列的元素最先被处理,而后加入的元素则排在队列的末尾。 常见的队列操作: 入队…

【linux 多进程并发】0301 Linux创建后台服务进程,daemon进程,自己的进程可以被一号进程接管啦

0301 Linux创建后台进程 ​专栏内容: postgresql使用入门基础手写数据库toadb并发编程 个人主页:我的主页 管理社区:开源数据库 座右铭:天行健,君子以自强不息;地势坤,君子以厚德载物. 一、概述…

Matlab实现鲸鱼优化算法(WOA)求解路径规划问题

目录 1.内容介绍 2.部分代码 3.实验结果 4.内容获取 1内容介绍 鲸鱼优化算法(WOA)是一种受自然界座头鲸捕食行为启发的优化算法,它通过模拟座头鲸的环绕猎物、螺旋游动和搜索猎物三种主要行为来探索和优化问题的解。WOA因其强大的全局搜索能…

RabbitMQ最新版本4.0.2在Windows下的安装及使用

RabbitMQ 是一个开源的消息代理和队列服务器,提供可靠的消息传递和队列服务。它支持多种消息协议,包括 AMQP、STOMP、MQTT 等。本文将详细介绍如何在 Windows 系统上安装和使用最新版本的 RabbitMQ 4.0.2。 前言 RabbitMQ 是用 Erlang 语言开发的 AMQP&…

攻坚金融关键业务系统,OceanBase亮相2024金融科技大会

10月15-16日,第六届中新数字金融应用博览会与2024金融科技大会(简称“金博会”)在苏州工业园区联合举办。此次大会融合了国家级重要金融科技资源——“中国金融科技大会”,围绕“赋能金融高质量发展,金融科技创新前行”…

如何实现金蝶商品数据集成到电商系统的SKU

如何实现金蝶商品数据集成到电商SKU系统 金蝶商品数据集成到电商SKU的技术实现 在现代企业的数据管理中,系统间的数据对接与集成是提升业务效率和准确性的关键环节。本文将分享一个实际案例:如何通过轻易云数据集成平台,将金蝶云星辰V2中的商…

Gin框架操作指南06:POST绑定(下)

官方文档地址(中文):https://gin-gonic.com/zh-cn/docs/ 注:本教程采用工作区机制,所以一个项目下载了Gin框架,其余项目就无需重复下载,想了解的读者可阅读第一节:Gin操作指南&#…

idea删除git历史提交记录

前言:此文章是我在实际工作中有效解决问题的方法,做记录的同时也供大家参考! 一、 首先,通过idea的终端或系统的cmd控制台,进入到你的项目文件根目录,idea终端默认就是项目根目录。 二、确保你当前处于要删…

浙大恩特CRM Quotegask_editAction SQL注入漏洞复现

0x01 产品描述: 浙大恩特CRM是由浙江大学恩智浙大科技有限公司推出的客户关系管理(CRM)系统。该系统旨在帮助企业高效管理客户关系,提升销售业绩,促进市场营销和客户服务的优化。 0x02 漏洞描述: 浙大恩特…

​​Spring6梳理19——基于注解管理Bean之@Autowired注入

以上笔记来源: 尚硅谷Spring零基础入门到进阶,一套搞定spring6全套视频教程(源码级讲解)https://www.bilibili.com/video/BV1kR4y1b7Qc 目录 19.1 Autowired注入 ①场景一:属性注入 19.1.1创建UserDao接口 19.1.2…

如何将数据从 AWS S3 导入到 Elastic Cloud - 第 2 部分:Elastic Agent

作者:来自 Elastic Hemendra Singh Lodhi 了解将数据从 AWS S3 提取到 Elastic Cloud 的不同选项。 这是多部分博客系列的第二部分,探讨了将数据从 AWS S3 提取到 Elastic Cloud 的不同选项。 在本博客中,我们将了解如何使用 Elastic Agent…

OQE-OPTICAL AND QUANTUM ELECTRONICS

文章目录 一、征稿简介二、重要信息三、服务简述四、投稿须知五、联系咨询 一、征稿简介 二、重要信息 期刊官网:https://ais.cn/u/3eEJNv 三、服务简述 四、投稿须知 1.在线投稿:由艾思科蓝支持在线投稿,请将文章全文投稿至艾思科蓝投稿系…