① 思科3560交换机 如何设置IP过滤功能
看你的描述,你应该通过抓包,看到了一些数据包的信息。如果单纯是 控制广播的话可以通过以下方式进行控制
storm-control action
shutdown或trap //当检测到风暴之后对端口处理的方式是err-disable 关闭端口还是产生一条日志
storm-control broadcast level [开始抑制的百分比] [重新使用的百分比] //当广播数据流量达到该端口百分多少时认为是storm
storm-control
broadcast level bps [开始抑制的带宽值] [重新使用的带宽值] //
当广播数据流量达到多少bps(即达到多少带宽)时认为是storm
storm-control
broadcast level pps [开始抑制的每秒报文数] [重新使用的每秒报文数] //
当广播数据流量达到多少pps(即每秒多少个数据包)时认为是storm
重新使用的参数值可以不配置,如果不配置两个的值一致。 三个控制选项使用其中一个就可以。
配置示例:
interface GigabitEthernet0/1
storm-control broadcast level 20.00 10.00 //当广播流量达到端口流量的20%关闭端口,10%开启端口
storm-controlaction shutdown
通过show storm-control broadcast查看接口广播控制状态
SW#show storm-control broadcast
Interface FilterState Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/1 Forwarding 20.00% 10.00% 0.00%
还有一种方式是通过acl进行过滤,根据抓到的数据包分析其特性,比如源和目的IP地址端口等等,编写acl或者mac acl 然后在相应的接口in方向绑定列表,禁止相应ip或者端口发送数据。
例如禁止10.1.1.1 的 4000端口对外访问
access-list 101 deny tcp 10.1.1.1 4000 any
access-list 101 permit ip 10.1.1.1 any
然后将列表绑定在相应的接口上面接口。
通过广播控制可以有效的控制交换机接收到的广播包,但一般来说,出现大量广播你应该查看一下相应ip或者主机是否存在问题。解决主机的问题才是根本。
② 思科stp具体配置 实例,谁能帮忙的呀
设备需求:两台cisco 3550switch.
实验说明: 1) SW1,SW2添加3个vlan,10,20,30
2) 设置SW1,SW2的f0/23-24为trunk
3) 设置SW2为vlan1,10,20,30的根
4) 设置SW1的f0/24,让vlan10,30的cost为10.
5) 设置SW1,SW2的f0/1-22 portfast功能
6) 启用SW1的uplinkfast功能
7) 启用SW1的f0/1-22 root guard功能
8) 启用SW1的BPDU Guard功能
9) 启用SW2的f0/1-22的bp过滤功能
Answer1:
SW1,SW2:
Vlan 10
Vlan 20
Vlan 30
show vlan brief
Answer2:
SW1,SW2:
int range f0/23 - 24
switch trunk encap dot1q
switch mode trunk
show int trunk
show spanning-tree vlan x
Answer3:
SW2:
spanning-tree vlan 1,10,20,30 root primary
show spanning-tree vlan x
Answer4:
SW1:
int f0/24
spanning-tree vlan 10,30 cost 10
show spanning-tree vlan x
Answer5:
SW1,SW2:
int r f0/1 - 22
spanning-tree portfast
Answer6:
SW1:
spanning-tree uplinkfast
show spanning-tree uplinkfast
Answer7:
SW1:
int range f0/1 - 22
spanning-tree guard root
Answer8:
SW1:
int range f0/1 - 22
spanning-tree bpguard enable
show spanning-tree summary
Answer9:
SW2:
int range f0/1 - 22
spanning-tree bpfilter enable
show spanning-tree summary
③ 思科路由器中包含了包过滤技术吗
有,ACL控制列表,可以过滤掉任何你不希望出去的数据,也可以规定什么时候断网,什么样的数据帧不被发送出去,不想接受什么样的数据帧,只要你会配置命令就行了
④ CISCO交换机ACL配置方法
CISCO交换机ACL配置方法如下:
标准访问列表配置实例:
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
标准访问列表
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。
它的具体格式:
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号。
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
⑤ 如何配置Cisco路由器ACL访问控制列的实际案例
第一阶段实验:配置实验环境,网络能正常通信
R1的配置:
复制代码
代码如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
复制代码
代码如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(config-if-range)#switchport mode trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
复制代码
代码如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
复制代码
代码如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
网络管理区主机PC1(这里用路由器模拟)
复制代码
代码如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
财务部主机PC2配置IP:
IP地址:192.168.3.2 网关:192.168.3.1
信息安全员主机PC3配置IP:
IP地址:192.168.4.2 网关:192.168.4.1
服务器主机配置IP:
IP地址:192.168.100.2 网关:192.168.100.1第一阶段实验验证测试:
所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法:用PING命令)
在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)
第二阶段实验:配置ACL实现公司要求
1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置:
复制代码
代码如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
复制代码
代码如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
复制代码
代码如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
复制代码
代码如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
验证:在PC1可以远程TELNET管理路由器和交换机,但在其他主机则被拒绝telnet
2、内网主机都可以访问服务器,但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器,外网只能访问服务器80端口。
在SW1三层交换机上配置扩展ACL
3、192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网。
在SW1三层交换机上配置扩展ACL
4、192.168.4.0/24网段主机可以访问服务器,可以访问管理员网段,但不能访问其他部门网段,可以访问外网。
在SW1三层交换机上配置扩展ACL
以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列
⑥ 思科交换路由实例配置!望高手解答!
主要步骤
第一步,交换机上配置VLAN
第二步,路由器R1上配置单臂路由
使VLAN2 PING通VLAN3(10.1.1.2 PING通10.2.2.2)
第三步,R1、R2、R3配置OSPF路由协议
使R1 与R3相互PING通
VLAN2和VLAN3能够与MAIL服务器和WWW服务器相互PING通
第四步,配置扩展访问列表,允许VLAN2的成员可以访问R3下的
MAIL服务器,不可以访问WEB服务器
第五步,在R1上的VLAN 2接口上应用扩展访问列表,
测试VLAN2的成员可以访问R3下的MAIL服务器,
不可以访问WEB服务器,测试VLAN3的成员没有访问限制
交换机上VLAN配置
Switch>en
Switch#conf t
Switch(config)#switchport f0/2
Switch(config-if)#switch mode access
Switch(config-if)#swihch access vlan 2 //端口2划分到VLAN 2,VLAN 2会自动被创建
Switch(config-if)#exit
Switch(config)#switchport f0/3
Switch(config-if)#switch mode access
Switch(config-if)#swihch access vlan 3 //端口3划分到VLAN 3,VLAN 3会自动被创建
Switch(config-if)#exit
Switch(config)#switchport f0/1
Switch(config-if)#switch mode trunk //端口1配置成干道
Switch(config-if)#end
Switch#
交换机VLAN配置完毕
路由器R1上配置
Route>en
Route#conf t
Route(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ino ip address
R1(config-if)#no shutdown
R1(config-if)#int fa0/0.2 //配置子接口,这里子接口号可以用其他数字
R1(config-subif)#Ienca dot1q 2 //dot1q封装,VLAN 2成员
R1(config-subif)#ip address 10.1.1.1 255.255.255.0 //VLAN2网关地址
R1(config-subif)#exit
R1(config)#int fa0/0.3
R1(config-subif)#Ienca dot1q 3
R1(config-subif)#ip address 10.2.2.1 255.255.255.0
R1(config-subif)#exit
R1(config)#
单臂路由配置完毕
R1(config)#int s0
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#clock rate 4000000 //同步串口DCE端配置速率为4兆,对端不配
R1(config-if)#exit
R1(config)#
串口地址配置完毕
配置OSPF路由协议
R1(config)#router ospf 1
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0
R1(config-router)#network 10.2.2.0 0.0.0.255 area 0
R1(config-router)#network 172.16.1.0 0.0.0.255 area 0
R1(config-router)#exit
R1(config)#
OSPF路由协议配置完毕
配置扩展访问列表
R1(config)#acc 110 permit tcp 10.1.1.0 0.0.0.255 host 202.101.2.2 eq 110 //允许访问MAIL服务器接收邮件端口
R1(config)#acc 110 permit tcp 10.1.1.0 0.0.0.255 202.101.2.2 eq 25 //允许访问MAIL服务器发送邮件端口
R1(config)#acc 110 deny tcp 10.1.1.0 0.0.0.255 202.101.2.1 eq 80 //拒绝访问www服务器80端口
扩展访问列表配置完毕
在VALN2接口上应用扩展访问列表
R1(config)#int fa0/0.2
R1(config-subif)#ip access-group 110 in
R1(config-subif)#end
R1#
路由器R2上配置
Route>en
Route#conf t
Route(config)#hostname R2
R2(config)#int s0
R2(config-if)#ip address 172.16.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int s1
R2(config-if)#ip address 192.168.1.1 255.255.255.0
R2(config-if)#iclock rate 4000000 //同步串口DCE端配置速率为4兆,对端不配
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#
串口地址配置完毕
配置OSPF路由协议
R2(config)#router ospf 1
R2(config-router)#network 172.16.1.0 0.0.0.255 area 0
R2(config-router)#network 192.168.1.0 0.0.0.255 area 0
R2(config-router)#end
R2#
OSPF路由协议配置完毕
路由器R3上配置
Route>en
Route#conf t
Route(config)#hostname R3
R3(config)#int s1
R3(config-if)#ip address 192.168.1.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
串口地址配置完毕
配置OSPF路由协议
R3(config)#router ospf 1
R3config-router)#network 202.101.2.0 0.0.0.255 area 0
R3config-router)#network 192.168.1.0 0.0.0.255 area 0
R3config-router)#end
R3#
OSPF路由协议配置完毕
全部配置完成
做测试工作
结束