标签:流量 deny res 输入 覆盖 app 保存 art display
# vlan:
vlan 10
interface ge0/0/2
port link-type access
port default vlan 10
vlan20
interface ge0/0/3
port link-type access
port default vlan 20
# trunk:
interface ge0/0/1
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
interface ge0/0/4
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
2.在lsw5上创建vlan10并将端口加入
. # vlan 10
interface ge0/0/2
port link-type access
port default vlan 10
#trunk:
interface ge0/0/1
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
3. 在lsw6上创建vlan10并将端口加入
. # vlan 40
interface ge0/0/2
port link-type access
port default vlan 40
interface ge0/0/3
port link-type access
port default vlan 40
interface ge0/0/4
port link-type access
port default vlan 40
interface ge0/0/1
port link-type access
port default vlan 40
#trunk:
interface ge0/0/1
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
二. 在三层交换机上设置网关进行trunk
1.在lsw2上进行trunk
#trunk:
interface ge0/0/2
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
interface ge0/0/3
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
interface ge0/0/4
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
配置网关:
vlan10
interface vlan 10
ip address 192.168.1.254 255.255.255.0
quit 退出
vlan20
interface vlan 20
ip address 192.168.2.254 255.255.255.0
quit 退出
创建vlan30并加入端口
vlan30
interface ge0/0/1
port link-type access
port default vlan 30
创建vlan50配置IP
vlan50
ip address 192.168.50.1 255.255.255.0
2.在lsw3上进行trunk
#trunk:
interface ge0/0/2
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
interface ge0/0/1
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan
配置网关:
vlan30
interface vlan 30
ip address 192.168.1.254 255.255.255.0
quit 退出
vlan40
interface vlan 40
ip address 192.168.2.254 255.255.255.0
quit 退出
创建vlan50配置IP
vlan50
ip address 192.168.50.2 255.255.255.0
三、配置RIP
在lsw2上配置RIP
rip
version 2 版本
network 192.168.1.0 要学习的网段
network 192.168.2.0 要学习的网段
network 192.168.30.0 要学习的网段
network 192.168.4.0 要学习的网段
在lsw3上配置RIP
rip
version 2 版本
network 192.168.50.0 要学习的网段
network 192.168.4.0 要学习的网段
四..测试让全网互通
在客户机ping x.x.x.x (任意一个客户机)
如果ping不同一层一层查看
display vlan 查看是否创建vlan和加入的端口
display ip interface brief 查看是否配置网关
display port vlan 查看是否设置了trunk
display rip 查看是否设置了RIP
五.配置服务器
1.在server1中配置
ip:192.168.30.88
子网掩码:255.255.255.0
网关:192.168.30.254
在服务器信息中DNSServer配置
域名:www.ntd1711.com
ip地址:192.168.30.1
启动服务器
2.在server2中配置
ip:192.168.30.1
子网掩码:255.255.255.0
网关:192.168.30.254
在服务器信息中HttpServer配置
域名:www.ntd1711.com
创建根目录:在任意磁盘中创建一个html格式的文件
2.在Client1中配置
ip:192.168.4.3
子网掩码:255.255.255.0
网关:192.168.4.25
在服务器信息中HttpClient配置
输入 地址:www.ntd1711.com
看是否能获取到文件,能则成功否则失败。
六.创建acl 具体要求如下:
1、PC-1与PC-2之间的任何类型的流量都无法互通;
2、PC-3可以 ping 192.168.30.88(server-2),但是无法 ping www.ntd1711.com ;
3、PC-4与PC-3之间的任何类型的流量都无法互通;
4、Client-1 可以 ping www.ntd1711.com,但是无法通过自带的浏览 器打开
Server-2中的 web 功能(即,www.ntd1711.com)
七..让PC-1与PC-2之间的任何类型的流量都无法互通;
1、创建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.1.1 0.0.0.0
destination 192.168.1.2 0.0.0.0
注:192.168.1.1 源目标地址
192.168.1.2 目标地址
2、调用ACL
[R2]interface gi0/0/2
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、验证、测试、保存
display acl 3000 //查看ACL的配置条目信息;
display traffic-filter applied-record //查看ACL的调用信息;
PC1:
ping 192.168.1.2 ,no
ping 别的ok
八 .PC-3可以 ping 192.168.30.88(server-2),但是无法 ping www.ntd1711.com
1、在lsw2创建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.2.1 0.0.0.0 destination 192.168.30.88 0.0.0.0
注:192.168.2.1 源目标地址
192.168.30.88 目标地址
2、调用ACL
[R2]interface gi0/0/3
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、验证、测试、保存
display acl 3000 //查看ACL的配置条目信息;
display traffic-filter applied-record //查看ACL的调用信息;
PC1:
ping 192.168.30.88 ,no
ping 别的ok
九.PC-4与PC-3之间的任何类型的流量都无法互通;
1、在lsw3创建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.4.1 0.0.0.0 destination 192.168.1.2 0.0.0.0
注:192.168.4.1 源目标地址
192.168.1.2 目标地址
2、调用ACL
[R2]interface gi0/0/2
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、验证、测试、保存
display acl 3000 //查看ACL的配置条目信息;
display traffic-filter applied-record //查看ACL的调用信息;
PC1:
ping 192.168.1.2 ,no
ping 别的ok
十. Client-1 可以 ping www.ntd1711.com,但是无法通过自带的浏览 器打开 Server-2中的 web 功能(即,www.ntd1711.com)
1、在lsw3创建ACL
[R2]acl name client1 advance
[R2-acl-advance-3000]rule 10 deny tcp source 192.168.4.3 0.0.0.0 destination 192.168.30.1 0.0.0.0
注:192.168.4.1 源目标地址
192.168.1.2 目标地址
tcp: http的 一种协议
2、调用ACL
[R2]interface gi0/0/2
[R2-gi0/0/0]traffic-filter inbound acl client1
3、验证、测试、保存
display acl name client1 //查看ACL的配置条目信息;
display traffic-filter applied-record //查看ACL的调用信息;
client1:
在http中输入:http;//www.ntd1711.com 结果显示不通就ok
注意事项:
1、同一个端口的,同一个方向,只能同时存在一个 ACL ;
2、如果想更改端口上调用的 ACL ,必须:
首先,删除端口上的 ACL 调用命令;
再次,重新调用一个新的 ACL ;
3、端口上的 ACL ,不允许直接覆盖;
4、华为中的ACL,没有匹配住的流量,默认是允许的;
标签:流量 deny res 输入 覆盖 app 保存 art display
原文地址:http://blog.51cto.com/13568840/2061740