一 交换机基础配置.ppt

　benbu(connfig-if)#interface vlan 4 benbu(connfig-if)#ip address benbu(config-if)#ip helper-address 54 benbu(config-if)#no shutdown benbu(config-if)#end benbu#write benbu#exit 　⑵ 配置DHCP服务器，分别为/24和/24网段添加作用域。DHCP服务器IP地址静态设置为54。在设置/24网段可分配的IP地址池时，注意不要将54地址添加到地址池中了，在设置IP地址池时，通常可保留一部分地址以备静态分配使用。 配置好DHCP服务器之后，VLAN 2和VLAN 4中的用户，开机之后就可访问本网段和其他网段的主机。对于采用静态IP地址分配的VLAN 3中的用户，必须手工设置主机的IP地址、默认网关和DNS服务器的地址。 　根据需要，可通过定义访问控制列表（Access Control List，简称ACL），来实现VLAN间通讯的Ip包过滤，从而实现访问策略的控制 　ACL配置的基本步骤和方法为： 　1．配置访问列表 Cisco交换机与路由器配置访问列表的命令和方法均相同。IP访问列表分为标准的IP访问列表和扩展的IP访问列表，扩展IP访问列表允许使用更多的匹配项，即允许表达更多的过滤条件，实际应用中，通常采用扩展IP访问列表。 配置定义的每个IP访问列表都有一个编号，标准的IP访问列表编号范围为1~99，扩展的IP访问列表编号范围为100~199。 配置访问列表在交换机的全局配置模式下，使用access-list配置命令来创建，允许创建多个访问列表编号不同的访问列表 。 3.5.6 在VLAN上应用访问列表 2．应用访问列表到端口 访问列表配置定义后，必须应用到指定的端口，才能实现对ip数据包的过滤功能。 选择应用的端口后，然后再用以下配置命令应用指定的访问列表到该端口。 ip access-group access-list-number in|out 其中的access-list-number为前面定义的访问列表的编号。in|out二者任选其一，代表IP数据包的方向。in代表对通过接口进入的数据包应用包过滤规则，即仅对通过该端口流入的数据进行过滤。Out则相反，指对通过该端口流出的数据利用该规则进行过滤。 若要取消应用访问列表，可执行配置命令：no ip access-group access-list-number in|out [例3.6] 假设在Cisco 3550交换机上的第5、第6和第7端口属于VLAN 10，第5号端口用于连接局域网内网，第6号端口用于连接代理服务器的内网卡。现要求全部过滤掉从局域网内网，向代理服务器发起的对任何主机的135-145端口和对445端口的连接请求。 配置步骤： ⑴ 创建VLAN，并划分VLAN端口。 S3550#vlan database S3550(vlan)#vlan 10 name lanfirewall S3550(vlan)#exit S3550#config t S3550(config)#interface range fa0/5 - 7 S3550(config-if-config)#switchport access vlan 10 S3550(config-if-config)#exit 　S3550(config)# ⑵ 配置访问列表。 S3550(config)#access-list 101 deny tcp any any range 135 145 S3550(config)#access-list 101 deny tcp any any eq 445 S3550(config)#access-list 101 deny udp any any range 135 145 S3550(config)#access-list 101 deny udp any any eq 445 S3550(config)#access-list 101 permit ip any any ⑶ 在端口5的进入方向应用访问列表。 S3550(config)#interface fa0/5 S3550(config-if)#ip access-group 101 in S3550(config-if)#end S3550#copy run start S3550#exit 利用ACL的IP包过滤功能，可起到防火墙的功能。因此，也可直接利用一台三层交换机的3个端口，通过配置ACL来实现防火墙。 3.6 指定trunk链路中的VLAN