VLAN、ACL知识点总结

已于 2022-02-22 11:40:01 修改
阅读量3.3k 收藏 6
点赞数
文章标签: 网络 web安全 安全
于 2019-11-14 20:20:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/QJueo/article/details/103073248
版权

VLAN、ACL知识点总结

VLAN知识点总结

VLAN基础概念

  • ACL:Access Control List,访问控制列表

  • 作用:
    1、实现访问控制
    2、抓取感兴趣流量供其他技术调用

  • 工作原理:
    通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,让路由器对收到的流量基于表中规则执行动作–允许、拒绝

  • ACL匹配规则:
    至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。

    就像是列一张表格,逐条对应表里的条例,对上一条就不会再对下面的内容。

  • ACL的分类:
    1、基本ACL:只能匹配数据包中的源IP地址
    因为只能识别源IP,所以为了避免误删,调用时尽量靠近要求中的目标
    INTEGER<2000-2999> Basic access-list(add to current using rules)
    (参数为2000-2999为基础ACL)

    2、高级ACL:可以识别数据包中的源、目IP地址,源、目端口号以及协议号
    因为可以识别的更精确,所以调用时尽量靠近源
    INTEGER<3000-3999> Advanced access-list(add to current using rules)
    (参数为3000-3999为高级ACL)

  • 基础ACL的配置

    命令意义
    [r2]acl 2000创建ACL 2000
    [r2-acl-basic-2000]rule(数字或不填) deny source 172.16.0.30 0拒绝单个IP
    [r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255拒绝一个范围(网段)
    [r2-acl-basic-2000]rule deny source any拒绝所有
    [r2-GigabitEthernet0/0/1]traffic-filter outbound(出)/inbound(进) acl 2000接口调用ACL

    注:动作可以换成permit(允许)
    接口调用ACL不管在高级还是基础都需要
    括号位置填写数字

  • 高级ACL配置

    命令意义
    [r1]acl 3000创建ACL3000
    [r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23设置禁止通过的IP可远程控制情况
    [r1]acl name vlan10 basic/advance命名的配置方式
    [r1]display acl all查看所有的ACL列表
    [r1-acl-adv-3000]rule deny imcp source 172.16.0.10 0 destination 172.16.0.1 0设置禁止通过的IP可访问情况

    在这里插入图片描述

    source IP:源IP
    destination IP:目标IP
    destination-port:目标端口号

  • 查看ACL列表
    在这里插入图片描述
    如果没有设置ACL数字则按照5+的模式来排列,就是为了方便中间好添加漏掉的条目。
    在配置ACL规则时,设备会自动生成5+的序号来排序。可以基于序号添加和删除规则

Telnet服务:远程登录服务

命令意义
[r1]user-interface vty 0 4创建Telnet账户后共五个
[r1-ui-vty0-4]authentication-mode aaa使用用户名(aaa)密码的方式
[r1]aaa进入创建密码模式
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234创建用户名及密码(1-15代表可开启权限)
QJue
关注
VLANACL
2302_81730670的博客
01-16 1432
之后再看目标MAC地址,若目标MAC地址在MAC地址表中有记录且和源MAC对应的VID相同,则进行单播,否则进行泛洪----泛洪范围只在VID相同的区域进行。[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan all 该接口下的trunk链路可通过所有的vlan帧型。路由器子接口----虚拟接口---将路由器的一个物理接口在逻辑上划分为多个虚拟的子接口。[R2-GigabitEthernet0/0/1] 进入需要调用acl的接口。
VLAN知识点总结
qq_64395221的博客
04-18 950
首先对交换机等设备进行了解中继器:物理层设备只能提供电流信息的电压恢复,但无法恢复波形,所以无法理论无限延长传输距离集线器:物理层设备 多接口的中继器二层交换机的作用: 区别集线器(HUB),HUB为物理层设备,只能直接转发电流;冲突交换机工作原理:当电流进入交换机后,接口将电流识别为二进制;然后查看数据帧中源MAC地址;将该MAC地址与其进入的接口进行映射记录到本地的MAC地址表中;再关注数据帧中的目标MAC地址,然后查询本地的MAC地址表,寻找对应的接口;若表中无记录,将洪泛该流量。
绝对实用 NAT + VLAN +ACL管理企业网络
weixin_34101784的博客
04-07 320
在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。一般,企业有1个或几个公网地址,而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?使用NAT技术! 在企业中,一般会有多个部门,像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的...
ACLVLAN
m0_74543941的博客
01-12 2497
ACLVLAN
VLANACL和NAT
qq_53048695的博客
08-02 933
VLAN LAN-------局域网 MAN-----城域网 WAN------广域网 VLAN里面的LAN指的是局域网,代表的是一个广播域。 VLAN-----------虚拟局域网:交换机和路由器协同工作,将原来的一个广播域,逻辑上分割成多个虚拟的广播域。 判断是否在一个广播域:是否在同一个洪泛范围,Ping一下即可。 VLAN配置 1.创建VLAN <Huawei>display vlan------查看VLAN IEEE------802.1Q VID------12位二进制构成(0-4
VLAN ACL
weixin_34301307的博客
03-18 391
VLAN ACLVLAN map)是使用在VLANVLAN之间的ACL,相同VLAN也是可以过滤的,只要流量是进入或离开指定的VLAN,都会被过滤,可以同时控制二层与三层流量。准确地讲,VLAN ACL并不是一个ACL,只是一个能调用ACLVLAN的技术,只要被调用的ACL支持什么功能,那么VLAN ACL就支持什么功能。当需要控制IPv4 流量时,VLAN ACL需要...
综合组网实验(eNSP)(vlanvlan间通信、nat地址转换、acl、dhcp、ospf……)
01-09
在这个实验中,主要涉及了多个关键知识点,包括VLAN(虚拟局域网)、VLAN间通信、静态路由、动态路由、链路聚合(LACP)、链路备份、NAT(网络地址转换)、ACL(访问控制列表)以及DHCP(动态主机配置协议)。...
华为中级认证HCIP知识点总结,建议收藏!
mengmeng_921的博客
10-15 1090
今天整理了一下华为HCIP的知识点0SPF知识点IS-IS知识点BGP知识点IGMP知识点路由控制知识点生成树协议MPLSDHCPVRRPBFDSDN(了解)
华为认证知识点总结.pdf
06-12
【华为认证知识点总结】 华为认证是对IT专业人士在华为设备上实施网络、云计算、数据中心等相关技术能力的权威认可。其中,HCNE(Huawei Certified Network Engineer)是华为初级网络工程师认证,涉及众多网络基础...
Hcia知识点总结
qq_41819426的博客
11-07 8810
Hcia知识点总结 目录 1.网络定义 2.OSI七层模型/tcp ip 协议栈 3.数据封装与解封装 4.路由器,交换机 5.IP地址 6.基础网络协议 7.华为设备基础命令 1.网络定义 什么是网络? 指的是由网络连接设备通过传输介质将网络终端设备连接起来进行信息共享交互的平台。 名词解释: 网络连接设备:用于网络连接的装置 例如我们熟悉的路由器,交换机等等 传输介质:用于连接设备与设备之间的工具 例如光纤,电缆,网线等等 网线的制作:(直通双绞线和交叉双绞线的制作) 网线的定义:网线是用于连接计算机和
绝对实用 NAT + VLAN +ACL管理企业网络
weixin_33850890的博客
08-10 599
在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。一般,企业有1个或几个公网地址,而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?使用NAT技术!     在企业中,一般会有多个部门,像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部...
网络基础笔记(五) VLAN ACL
xiaolin_ss的博客
01-24 1423
R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝 源IP为 192.168.1.2 尾号0.0.0.0 的意义就是定死这个IP[R2-acl-basic-2000]rule permit source any 规则 允许 源IP为 所有。[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 定义该接口下的trunk链路可通过vlan 2 到 3。第一步:创建vlan
VLAN之间ACL和VACL的区别
weixin_34242819的博客
01-12 349
最近经常碰到有人问起Cisco交换机上如何实现VLAN之间的访问控制,一般我都会告诉对方,在三层交换机上直接把ACL应用到相应VLAN的虚端口就OK了,其实我自己也没有机会去真正实践过。眼下正巧有个项目涉及到这方面的需求,于是对如何实现VLAN之间的访问控制仔细研究了一番,这才发现VLAN访问控制列表(VACL)和VLAN之间的访问控制列表其实在实现方式上是有很大不同的,虽然...
手把手教你配置VLANACL网络分段与访问控制的实战指南
最新发布
Aishenyanying33的博客
12-10 1197
将访客接入交换机的接口配置到VLAN 30。在路由器上配置ACL规则,允许VLAN 30访问外网,禁止访问其他VLAN。一个中型企业有以下需求:管理部门与研发部门需隔离,但管理部门可以访问研发的测试服务器。某公司希望限制访客网络VLAN 30)仅能访问互联网,不能访问其他内部网络。某公司希望禁止员工在工作时间访问娱乐类网站,但允许访问公司内部资源。用于将同一物理网络的不同设备逻辑分隔,提高网络安全性和管理效率。配置ACL规则,限制VLAN间访问(详见后文)。用于过滤进出网络的流量,限制不必要的访问。
初识ACLVLAN和NAT
m0_74939395的博客
01-10 1479
简单介绍了ACLVLAN和NAT三种常用网络技术及其配置方法。
简单VLAN ACL实验
weixin_33797791的博客
12-03 203
1.在S1上设置VTP Switch(config)#vtp domain vtp1 Changing VTP domain name from NULL to vtp1 Switch(config)#vtp mode server Setting device to VTP server mode. Switch(config)#vtp passwor...
Cisco VLAN ACL配置
weixin_33997389的博客
05-16 4148
    什么是ACLACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包, 是控制访问的一种网络技术手段, ACL适用于所有的被路由支持的协议,如IP、tcp、udp、ftp、www等。     什么是反掩码? 反掩码就是通配符掩码 , 通过标记0和1告诉设备应该匹配到哪位。 在反掩码中,相应位为1的地址在...
详解VLAN ACL及配置实例
热门推荐
zhjcyn的专栏
07-15 1万+
VACL详解<br />    有些刚接触ACL(Access Control Lists)的朋友听到VACL可能有些陌生,本文将对VACL在Cisco COS和IOS版本的交换机上的使用,进行一个比较全面的描述。<br />  VACLVLAN ACL)和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分,它定义了基于三层以上的信息流量,而所对应的参数则用于两层的VLAN。VACL多是针对硬件中应用,比传统的路由器访问列表处理速度明显快得多。目前,Cisco 6000(Policy
基于VLANACL
潇峰的博客
07-11 2180
此时 :traffic-filter vlan 10 inbound acl 3000 配置失效 vlan10 和vlan 30 可以相互访问
Yeslab CCNA课程核心知识点总结
根据给定的文件信息,我们可以确定以下IT知识点,对应于CCNA(Cisco Certified Network Associate)认证课程的内容,这是一个专门针对网络专业人员的入门级认证。 ### 第1章 课程介绍.pdf 在课程介绍部分,通常会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值