2022年实训目标—访问控制列表和端口聚合共享 .pdf

《2022年实训目标—访问控制列表和端口聚合共享 .pdf》由会员分享，可在线阅读，更多相关《2022年实训目标—访问控制列表和端口聚合共享 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实训目标 19 1实训目标 19 访问控制列表和端口聚合 年级 200 ( )职 班级 座号 姓名 实训场所 年 月 日 周 午 节 【实训目标】 1. 了解访问控制列表 (ACL)的概念，理解为什么需要ACL ； 2. 实现一个ACL的典型应用 -VLAN 间的连通控制 ; 3. 了解端口聚合的概念，理解为什么需要端口聚合； 4. 实现一个端口聚合的典型应用多链路构成的主干 (Trunk); 5. 培养有计划按步骤、细致和文档先行的良好做事风格。 【实训预备】 一、 什么是ACL ACL是“访问控制列表”的字头简写，是指按照设置好的策略，控制电脑之间、子网之间网络访问的措施。 ACL是交换机

2、、路由器中最重要的基本概念，广泛用于安全控制、 NAT地址转换设置、策略路由等设置实现中。 实施 ACL ，关键是编写地址列表，地址列表构成要素中主要有：列表号、权限(permit- 允许，deny-拒绝)、源IP/ 掩码、源端口、目标IP/ 掩码、目标端口等参数。 例如，本实训中，假设VLan 1 是交换机和服务器子网，VLan 4 是来客临时接入子网，我们不希望 VLan 4 访问 VLan 1，但可以访问VLan 2 和 3，这时，就可以通过ACL实现。 二、 ACL 怎么实施？ 1. 定义 ACL策略的核心地址列表，例如： en conf t access-list 10 deny 1

3、92.168.4.0 0.0.0.255 2. 在接口上应用策略 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 实训目标 19 2 en conf t interf vlan 1 ip access-group 10 in 三、 什么是端口聚合？ 端口聚合(Port Trunking)是指将交换机的多个端口捆绑成逻辑上的一个端口，也称为链路聚合。端口聚合带来的好处是：实现更高的链路带宽，实现链路负载平衡，实现链路的冗余容错；

4、端口聚合一般用于交换机的级连(主干)，或者服务器和交换机之间的连接，当然服务器需要多块网卡，而且最好是同品牌同类型的高性能网卡。 在拓扑图上，端口聚合用小椭圆表示，形象上类似于用扎带进行捆扎。 四、 端口聚合怎么实施？ 1. 选择几个端口，进行聚合，产生新的端口，例如： en conf t interface range fa0/1-2 (选择 100M快速以太网的第 12号口) channel-group 1 mode on (第12号口创建新端口 port-channel 1) interface range fa0/3-4 (选择 100M快速以太网的第 34 号口) channel-g

5、roup 2 mode on (第34 号口创建新端口 port-channel 2) 2. 将新端口进行设置，例如： interface port-channel 1 (选择新建立端口 port-channel 1) switchport mode trunk (设置为 trunk 主干模式) interface port-channel 2 switchport mode trunk 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - -

6、- - 实训目标 19 3【实训步骤】 一、 拖放和连接设备 (注意连接端口号， 注意双链路是否全连通 )按照图，拖放设备： L2 交换机 2950-24 2 台L3交换机 3560 1台PC 8 台二、 配置电脑的 IP 地址 设备的 IP 地址分配表 ( 子网掩码Subnet MAsk 都是 255.255.255.0 ) 设备 所属 VLAN IP 地址 (IP Address) 缺省网关 (Default Gateway) PC 11 Vlan 1 192.168.1.11 192.168.1.254 PC 12 Vlan 2 192.168.2.12 192.168.2.254 PC

7、 13 Vlan 3 192.168.3.13 192.168.3.254 PC 14 Vlan 4 192.168.4.14 192.168.4.254 PC 21 Vlan 1 192.168.1.21 192.168.1.254 PC 22 Vlan 2 192.168.2.22 192.168.2.254 PC 23 Vlan 3 192.168.3.23 192.168.3.254 PC 24 Vlan 4 192.168.4.24 192.168.4.254 Switch1 Vlan 1 192.168.1.1 192.168.1.254 Switch2 Vlan 1 192.16

8、8.1.2 192.168.1.254 (Switch的地址在后续的步骤三的命令里面来设置) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 实训目标 19 4三、 配置二层交换机 配置二层交换机的任务主要是： 设置主机名、 IP地址、 VTP 模式 (VTP客户模式 ) ； 划分端口到不同 Vlan 去； 创建聚合端口，并设置为Trunk 模式； Switch1 配置命令 en 进入高权限模式 conf t 进入配置模式 ho

9、stname Switch1 设置交换机的主机名 ip default-g 192.168.1.254 设置缺省网关的地址 vtp mode client 设置 VTP模式为 VTP客户端 vtp domain myvtp 设置 VTP域的名称 interf vlan 1 进入虚接口的配置模式 ip add 192.168.1.1 255.255.255.0 设置该虚接口的IP 地址 no shutdown 开启 interf fa0/1 进入端口 1 的配置模式 switchp access vlan 1 将该端口划到 VLan 1 interf fa0/2 进入端口 2 的配置模式 swi

10、tchp access vlan 2 将该端口划到 VLan 2 interf fa0/3 进入端口 3 的配置模式 switchp access vlan 3 将该端口划到 VLan 3 interf fa0/4 进入端口 4 的配置模式 switchp access vlan 4 将该端口划到 VLan 4 interface range fa0/23-24 选择第 2324 号口 channel-group 1 mode des 创建新端口 port-channel 1interf port-channel 1 选择新端口port-channel 1 switchp mode trunk

11、 将该口设置为主干Trunk 模式 exit exit wr 保存配置 show run 检查配置情况 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 实训目标 19 5Switch2 配置命令 en 进入高权限模式 conf t 进入配置模式 hostname Switch2 设置交换机的主机名 ip default-g 192.168.1.254 设置缺省网关的地址 vtp mode client 设置 VTP模式为 VTP

12、客户端 vtp domain myvtp 设置 VTP域的名称 interf vlan 1 进入虚接口的配置模式 ip add 192.168.1.2 255.255.255.0 设置该虚接口的IP 地址 no shutdown 开启 interf fa0/1 进入端口 1 的配置模式 switchp access vlan 1 将该端口划到 VLan 1 interf fa0/2 进入端口 2 的配置模式 switchp access vlan 2 将该端口划到 VLan 2 interf fa0/3 进入端口 3 的配置模式 switchp access vlan 3 将该端口划到 VLa

13、n 3 interf fa0/4 进入端口 4 的配置模式 switchp access vlan 4 将该端口划到 VLan 4 interface range fa0/23-24 选择第 2324 号口 channel-group 1 mode des 创建新端口 port-channel 1interf port-channel 1 选择新端口port-channel 1 switchp mode trunk 将该口设置为主干Trunk 模式 exit exit wr 保存配置 show run 检查配置情况 四、 配置三层交换机 配置三层交换机的任务主要是： 设置主机名、 VTP 模式

14、 (VTP服务器模式 ) ； 创建聚合端口，并设置为Trunk 模式 创建 VLAN ，并且建立连接各 Vlan 的虚接口； 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 实训目标 19 6给这些虚接口设置 IP 地址，作为各 Vlan 的网关； 暂时不划分端口到不同Vlan 去，因为本实训的L3 Switch 没有直接接入电脑。如果有接电脑，同样也要做端口划分； Switch3 配置命令 en 进入高权限模式 conf t

15、进入配置模式 hostname Switch3 设置主机名称 vtp mode server 设置 VTP模式为 VTP服务器 vtp domain myvtp 设置 VTP域的名称 vlan 2 建立 VLan 2 vlan 3 建立 VLan 3 vlan 4 建立 VLan 4 interf vlan 1 进入虚端口 的配置模式 ip address 192.168.1.254 255.255.255.0 为该虚子端口设置ip 地址 no shutdown 开启( 该虚子端口就是VLAN1的网关 ) interf vlan 2 进入虚端口 的配置模式 ip address 192.168

16、.2.254 255.255.255.0 为该虚子端口设置ip 地址 no shutdown 开启( 该虚子端口就是VLAN2的网关 ) interf vlan 3 进入虚端口 的配置模式 ip address 192.168.3.254 255.255.255.0 为该虚子端口设置ip 地址 no shutdown 开启( 该虚子端口就是VLAN3的网关 ) interf vlan 4 进入虚端口 的配置模式 ip address 192.168.4.254 255.255.255.0 为该虚子端口设置ip 地址 no shutdown 开启( 该虚子端口就是VLAN4的网关 ) inter

17、face range fa0/1-2 选择第 12号口 channel-group 1 mode des 创建新端口 port-channel 1interf port-channel 1 选择新端口port-channel 1 switchp mode trunk 将该口设置为主干Trunk 模式 interface range fa0/3-4 选择第 34 号口 channel-group 2 mode des 创建新端口 port-channel 2interf port-channel 2 选择新端口port-channel 2 switchp mode trunk 将该口设置为主干T

18、runk 模式 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 实训目标 19 7exit exit wr 保存配置 show run 检查配置情况 五、 测试全网的连通情况 测试机 PC11 测试机自己的IP 为 192.168.1.11 (从测试机PC11去 ping 下列设备) 测试对象 测试命令 连通情况 如果正确 PC 12 ping 192.168.2.12 Y PC 13 ping 192.168.3.13 Y P

19、C 14 ping 192.168.4.14 Y PC 21 ping 192.168.1.21 Y PC 22 ping 192.168.2.22 Y PC 23 ping 192.168.3.23 Y PC 24 ping 192.168.4.24 Y switch1 ping 192.168.1.1 Y switch2 ping 192.168.1.2 Y 测试机 PC24 测试机自己的IP 为 192.168.4.24 (从测试机PC24去 ping 下列设备) 测试对象 测试命令 连通情况 如果正确 PC 11 ping 192.168.1.11 Y PC 12 ping 192.1

20、68.2.12 Y PC 13 ping 192.168.3.13 Y PC 14 ping 192.168.4.14 Y PC 21 ping 192.168.1.21 Y PC 22 ping 192.168.2.22 Y PC 23 ping 192.168.3.23 Y switch1 ping 192.168.1.1 Y switch2 ping 192.168.1.2 Y 测试机 Switch3 测试机自己的IP 为 192.168.1.254 (从Switch3 去 ping 下列设备 ) 测试对象 测试命令 连通情况 如果正确 PC 11 ping 192.168.1.11 Y

21、 PC 12 ping 192.168.2.12 Y 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 实训目标 19 8PC 13 ping 192.168.3.13 Y PC 14 ping 192.168.4.14 Y PC 21 ping 192.168.1.21 Y PC 22 ping 192.168.2.22 Y PC 23 ping 192.168.3.23 Y PC 24 ping 192.168.4.24 Y

22、switch1 ping 192.168.1.1 Y switch2 ping 192.168.1.2 Y 六、 配置三层交换机的ACL Switch3 配置命令 en 进入高权限模式 conf t 进入配置模式 access-list 10 deny 192.168.4.0 0.0.0.255 定义一条限制策略，策略号为10 interf vlan 1 进入虚端口Vlan 1的配置 ip access-group 10 in 应用策略第10 号 exit exit wr 保存配置 show run 检查配置情况 七、 检验实施ACL的效果 测试机 PC24 测试机自己的IP 为 192.16

23、8.4.24 (从测试机PC24去 ping 下列设备) 测试对象 测试命令 连通情况 如果正确 PC 11 ping 192.168.1.11 N PC 12 ping 192.168.2.12 Y PC 13 ping 192.168.3.13 Y PC 14 ping 192.168.4.14 Y PC 21 ping 192.168.1.21 N PC 22 ping 192.168.2.22 Y PC 23 ping 192.168.3.23 Y switch1 ping 192.168.1.1 N switch2 ping 192.168.1.2 N 名师资料总结 - - -精品资

24、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 实训目标 19 9【可选的加强练习】 在三层交换机上执行命令 en conf t interf vlan 1 no ip access-group 10 in (取消ACL策略的应用 ) 然后将本表再检验，看看PC24能否 ping 通 Vlan 1的四个 IP？ ping 192.168.1.11 ping 192.168.1.21 ping 192.168.1.1 ping 192.168.1.2 ( 答案是： ) 【实训总结】 A C L 管控制 通与不通靠策略 链路聚合像扎带 形成大缆好处多 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -