思科配置包過濾實例

① 思科3560交換機 如何設置IP過濾功能

看你的描述，你應該通過抓包，看到了一些數據包的信息。如果單純是 控制廣播的話可以通過以下方式進行控制

storm-control action
shutdown或trap //當檢測到風暴之後對埠處理的方式是err-disable 關閉埠還是產生一條日誌
storm-control broadcast level [開始抑制的百分比] [重新使用的百分比] //當廣播數據流量達到該埠百分多少時認為是storm
storm-control
broadcast level bps [開始抑制的帶寬值] [重新使用的帶寬值] //
當廣播數據流量達到多少bps（即達到多少帶寬）時認為是storm
storm-control
broadcast level pps [開始抑制的每秒報文數] [重新使用的每秒報文數] //
當廣播數據流量達到多少pps（即每秒多少個數據包）時認為是storm

重新使用的參數值可以不配置，如果不配置兩個的值一致。 三個控制選項使用其中一個就可以。

配置示例：

interface GigabitEthernet0/1
storm-control broadcast level 20.00 10.00 //當廣播流量達到埠流量的20%關閉埠，10%開啟埠
storm-controlaction shutdown
通過show storm-control broadcast查看介面廣播控制狀態
SW#show storm-control broadcast
Interface FilterState Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/1 Forwarding 20.00% 10.00% 0.00%

還有一種方式是通過acl進行過濾，根據抓到的數據包分析其特性，比如源和目的IP地址埠等等，編寫acl或者mac acl 然後在相應的介面in方向綁定列表，禁止相應ip或者埠發送數據。

例如禁止10.1.1.1 的 4000埠對外訪問
access-list 101 deny tcp 10.1.1.1 4000 any
access-list 101 permit ip 10.1.1.1 any

然後將列表綁定在相應的介面上面介面。

通過廣播控制可以有效的控制交換機接收到的廣播包，但一般來說，出現大量廣播你應該查看一下相應ip或者主機是否存在問題。解決主機的問題才是根本。

② 思科stp具體配置 實例，誰能幫忙的呀

設備需求:兩台cisco 3550switch.
實驗說明: 1) SW1,SW2添加3個vlan,10,20,30
2) 設置SW1,SW2的f0/23-24為trunk
3) 設置SW2為vlan1,10,20,30的根
4) 設置SW1的f0/24,讓vlan10,30的cost為10.
5) 設置SW1,SW2的f0/1-22 portfast功能
6) 啟用SW1的uplinkfast功能
7) 啟用SW1的f0/1-22 root guard功能
8) 啟用SW1的BPDU Guard功能
9) 啟用SW2的f0/1-22的bp過濾功能
Answer1:
SW1,SW2:
Vlan 10
Vlan 20
Vlan 30
show vlan brief

Answer2:
SW1,SW2:
int range f0/23 - 24
switch trunk encap dot1q
switch mode trunk
show int trunk
show spanning-tree vlan x

Answer3:
SW2:
spanning-tree vlan 1,10,20,30 root primary
show spanning-tree vlan x

Answer4:
SW1:
int f0/24
spanning-tree vlan 10,30 cost 10
show spanning-tree vlan x

Answer5:
SW1,SW2:
int r f0/1 - 22
spanning-tree portfast

Answer6:
SW1:
spanning-tree uplinkfast
show spanning-tree uplinkfast
Answer7:
SW1:
int range f0/1 - 22
spanning-tree guard root
Answer8:
SW1:
int range f0/1 - 22
spanning-tree bpguard enable
show spanning-tree summary
Answer9:
SW2:
int range f0/1 - 22
spanning-tree bpfilter enable
show spanning-tree summary

③ 思科路由器中包含了包過濾技術嗎

有，ACL控制列表，可以過濾掉任何你不希望出去的數據，也可以規定什麼時候斷網，什麼樣的數據幀不被發送出去，不想接受什麼樣的數據幀，只要你會配置命令就行了

④ CISCO交換機ACL配置方法

CISCO交換機ACL配置方法如下：
標准訪問列表配置實例：
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
標准訪問列表
訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標准訪問控制列表，標准訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用訪問控制列表號1到99來創建相應的ACL。

它的具體格式：
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 為1-99 或者 1300-1999之間的數字，這個是訪問列表號。
訪問控制列表簡稱為ACL，訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源埠，目的埠等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。

⑤ 如何配置Cisco路由器ACL訪問控制列的實際案例

第一階段實驗：配置實驗環境，網路能正常通信
R1的配置：

復制代碼
代碼如下:
R1>en
R1#conf t
R1（config）#int f0/0
R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shut
R1（config-if）#int loopback 0
R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1
R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exit
R1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4
R1（config-line）#login local

SW1的配置：

復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1（vlan）#vlan 2
SW1（vlan）#vlan 3
SW1（vlan）#vlan 4
SW1（vlan）#vlan 100
SW1（vlan）#exit
SW1#conf t
SW1（config）#int f0/1
SW1（config-if）#no switchport
SW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15
SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shut
SW1（config-if-range）#exit
SW1（config）#int vlan 2
SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 3
SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 4
SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 100
SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip routing
SW1（config）#int vlan 1
SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#username benet password testSW1（config）#line vty 0 4

SW1（config-line）#login local

SW2的配置：

復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2（vlan）#vlan 2
SW2（vlan）#vlan 3
SW2（vlan）#vlan 4
SW2（vlan）#exit
SW2#conf t
SW2（config）#int f0/15
SW2（config-if）#switchport mode trunk
SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#int f0/1
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 2SW2（config-if）#no shut
SW2（config-if）#int f0/2
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 3SW2（config-if）#no shut
SW2（config-if）#int f0/3
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 4SW2（config-if）#no shut
SW2（config-if）#int vlan 1
SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routing
SW2（config）#username benet password testSW2（config）#line vty 0 4
SW2（config-line）#login local

SW3的配置：

復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3（vlan）#vlan 100
SW3（vlan）#exit
SW3#conf t
SW3（config）#int f0/15
SW3（config-if）#switchport mode trunk
SW3（config-if）#no shut
SW3（config-if）#int f0/1
SW3（config-if）#switchport mode access
SW3（config-if）#switchport access vlan 100SW3（config-if）#no shut
SW3（config-if）#int vlan 1
SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shut
SW3（config-if）#exit
SW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routing
SW3（config）#username benet password testSW3（config）#line vty 0 4
SW3（config-line）#login local

網路管理區主機PC1（這里用路由器模擬）

復制代碼
代碼如下:
R5>en
R5#conf t
R5（config）#int f0/0
R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shut
R5（config-if）#exit
R5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1

財務部主機PC2配置IP:
IP地址：192.168.3.2 網關：192.168.3.1
信息安全員主機PC3配置IP:
IP地址：192.168.4.2 網關：192.168.4.1
伺服器主機配置IP:
IP地址：192.168.100.2 網關：192.168.100.1第一階段實驗驗證測試：
所有部門之間的主機均能互相通信並能訪問伺服器和外網（測試方法：用PING命令）
在所有主機上均能遠程管理路由器和所有交換機。（在PC主機上用telnet命令）
第二階段實驗：配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置：

復制代碼
代碼如下:
R1#conf t
R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4
R1（config-line）#access-class 1 in

SW1的配置

復制代碼
代碼如下:
SW1#conf t
SW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4
SW1（config-line）#access-class 1 in

SW2的配置

復制代碼
代碼如下:
SW2#conf t
SW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4
SW2（config-line）#access-class 1 in

SW3的配置

復制代碼
代碼如下:
SW3#conf t
SW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4
SW3（config-line）#access-class 1 in

驗證：在PC1可以遠程TELNET管理路由器和交換機，但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器，但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器，外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器，可以訪問網路管理員網段，但不能訪問其他部門網段，也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器，可以訪問管理員網段，但不能訪問其他部門網段，可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列

⑥ 思科交換路由實例配置！望高手解答！

主要步驟
第一步，交換機上配置VLAN
第二步，路由器R1上配置單臂路由
使VLAN2 PING通VLAN3（10.1.1.2 PING通10.2.2.2）
第三步，R1、R2、R3配置OSPF路由協議
使R1 與R3相互PING通
VLAN2和VLAN3能夠與MAIL伺服器和WWW伺服器相互PING通
第四步，配置擴展訪問列表，允許VLAN2的成員可以訪問R3下的
MAIL伺服器，不可以訪問WEB伺服器
第五步，在R1上的VLAN 2介面上應用擴展訪問列表，
測試VLAN2的成員可以訪問R3下的MAIL伺服器，
不可以訪問WEB伺服器，測試VLAN3的成員沒有訪問限制

交換機上VLAN配置
Switch>en
Switch#conf t
Switch(config)#switchport f0/2
Switch(config-if)#switch mode access
Switch(config-if)#swihch access vlan 2 //埠2劃分到VLAN 2，VLAN 2會自動被創建
Switch(config-if)#exit
Switch(config)#switchport f0/3
Switch(config-if)#switch mode access
Switch(config-if)#swihch access vlan 3 //埠3劃分到VLAN 3，VLAN 3會自動被創建
Switch(config-if)#exit
Switch(config)#switchport f0/1
Switch(config-if)#switch mode trunk //埠1配置成幹道
Switch(config-if)#end
Switch#
交換機VLAN配置完畢

路由器R1上配置
Route>en
Route#conf t
Route(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ino ip address
R1(config-if)#no shutdown
R1(config-if)#int fa0/0.2 //配置子介面，這里子介面號可以用其他數字
R1(config-subif)#Ienca dot1q 2 //dot1q封裝，VLAN 2成員
R1(config-subif)#ip address 10.1.1.1 255.255.255.0 //VLAN2網關地址
R1(config-subif)#exit
R1(config)#int fa0/0.3
R1(config-subif)#Ienca dot1q 3

R1(config-subif)#ip address 10.2.2.1 255.255.255.0
R1(config-subif)#exit
R1(config)#
單臂路由配置完畢

R1(config)#int s0
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#clock rate 4000000 //同步串口DCE端配置速率為4兆，對端不配
R1(config-if)#exit
R1(config)#
串口地址配置完畢

配置OSPF路由協議
R1(config)#router ospf 1
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0
R1(config-router)#network 10.2.2.0 0.0.0.255 area 0
R1(config-router)#network 172.16.1.0 0.0.0.255 area 0
R1(config-router)#exit
R1(config)#
OSPF路由協議配置完畢

配置擴展訪問列表
R1(config)#acc 110 permit tcp 10.1.1.0 0.0.0.255 host 202.101.2.2 eq 110 //允許訪問MAIL伺服器接收郵件埠
R1(config)#acc 110 permit tcp 10.1.1.0 0.0.0.255 202.101.2.2 eq 25 //允許訪問MAIL伺服器發送郵件埠
R1(config)#acc 110 deny tcp 10.1.1.0 0.0.0.255 202.101.2.1 eq 80 //拒絕訪問www伺服器80埠
擴展訪問列表配置完畢

在VALN2介面上應用擴展訪問列表
R1(config)#int fa0/0.2
R1(config-subif)#ip access-group 110 in
R1(config-subif)#end
R1#

路由器R2上配置
Route>en
Route#conf t
Route(config)#hostname R2
R2(config)#int s0
R2(config-if)#ip address 172.16.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int s1
R2(config-if)#ip address 192.168.1.1 255.255.255.0
R2(config-if)#iclock rate 4000000 //同步串口DCE端配置速率為4兆，對端不配
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#
串口地址配置完畢

配置OSPF路由協議
R2(config)#router ospf 1
R2(config-router)#network 172.16.1.0 0.0.0.255 area 0
R2(config-router)#network 192.168.1.0 0.0.0.255 area 0
R2(config-router)#end
R2#
OSPF路由協議配置完畢

路由器R3上配置
Route>en
Route#conf t
Route(config)#hostname R3
R3(config)#int s1
R3(config-if)#ip address 192.168.1.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
串口地址配置完畢

配置OSPF路由協議
R3(config)#router ospf 1
R3config-router)#network 202.101.2.0 0.0.0.255 area 0
R3config-router)#network 192.168.1.0 0.0.0.255 area 0
R3config-router)#end
R3#
OSPF路由協議配置完畢

全部配置完成
做測試工作
結束