16实验16交换机单向访问控制与实现.docVIP

实验十六 交换机单向访问控制的实现 一、 实验目的 1. 了解实现单向访问控制 二、 应用环境 单向访问控制—允许 A 网段的用户可以访问 B 网段的 tcp 应用，而 B 网段不能访问A 网段的 tcp 应用。适用于某些有特殊要求的场合。 譬如：一个公司有财务部和业务部，财务部可以访问业务部的数据，但是不允许业务部的机器访问财务部的数据。 三、 实验设备 1.DCRS-5656-28C交换机 1台 2.PC 机 2—4 台 四、 实验拓扑 五、 实验要求 1. 交换机划分为两个 VLAN，VLAN2 和 VLAN3： VLAN 端口成员 地址 Mask Vlan 2 0/0/1~0/1/8 192.168.5.1 255.255.255.0 Vlan 3 0/0/9~0/0/16 10.1.157.1 255.255.255.0 Vlan 4 0/0/17~0/0/24 172.16.1.1 255.255.255.0 2..PC1-PC2 的网络设置为： 设备 IP 地址 gateway Mask PC1 192.168.5.101 192.168.5.1 255.255.255.0 PC2 10.1.157.101 10.1.157.1 255.255.255.0 PC2 172.16.1.101 172.16.1.1 255.255.255.0 5.验证： PC3 可以ping通任何PC。 PC2、PC1不可以ping通任何PC 若实验结果和理论相符，则本实验完成。 实验步骤 1.交换机恢复出厂设置 DCRS-5650-28C-28Cenable DCRS-5650-28C-28C#set default Are you sure? [Y/N] = y DCRS-5650-28C-28C#write DCRS-5650-28C-28C#reload Process with reboot? [Y/N] y 2. 创建 vlan2和 vlan3、vlan4并给相应vlan添加端口。 DCRS-5650-28C-28C(Config)#vlan 2 DCRS-5650-28C(Config-Vlan2)#switchport interface ethernet 0/0/1-8 DCRS-5650-28C(Config-Vlan2)#exit DCRS-5650-28C(Config)#vlan 3 DCRS-5650-28C(Config-Vlan2)#switchport interface ethernet 0/0/9-16 DCRS-5650-28C(Config-Vlan3)#exit DCRS-5650-28C(Config)#vlan 4 DCRS-5650-28C(Config-Vlan4)#switchport interface ethernet 0/0/17-24 DCRS-5650-28C(Config-Vlan4)#exit 3.配置交换机各vlan虚接口的IP地址 开启三层转发功能（默认情况下此功能关闭，若要配置多个IP，需要先开启此功能） DCRS-5650-28C((Config)#l3 enable （此命令不能自动补全，需手动输入） 分别给Vlan 2 与Vlan 3、vlan4配置IP地址 DCRS-5650-28C(Config)#int vlan 2 DCRS-5650-28C(Config-If-Vlan2)#ip address 192.168.5.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan2)#no shut DCRS-5650-28C(Config-If-Vlan2)#exit DCRS-5650-28C(Config)#int vlan 3 DCRS-5650-28C(Config-If-Vlan3)#ip address 10.1.146.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan3)#no shut DCRS-5650-28C(Config-If-Vlan3)#exit DCRS-5650-28C(Config)#int vlan 4 DCRS-5650-28C(Config-If-Vlan4)#ip address 172.16.1.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan4)#no shut DCRS-5650-28C(Config-If-Vlan4)#exit 4. 创建ACL