acl number 3000
rule permit ip source 1111 0 destination 2222 0
acl number 2000
rule permit ip source 1111 0
acl 2000-3000 只能定义源
acl 3000 及以上可以定义源和目标
上面是配置实例 permit是允许 deny是拒绝
定义之后到接口或端口去下发。
Packet in/out 2000
路由器的话略有不同
你要先
fiirwall enable 全局使能防火墙
定义ACL 同上面的方法定义ACL
接口下发:firewall packet in/out 3000
为了防止非法侵入、侦听以及不良信息或其他网络设备访问网络,汇聚交换机可选择支持安全策略的企业级交换机,如ACL(访问控制列表),可识别允许的通信流量类型,有效阻止特定类型的流量(指不想通行的流量)进行传输,确保网络安全性。
三层网络架构模型被广泛应用于网络设计,为用户带来了安全可靠、可扩展且经济高效的互联网络。
其中三层网络架构模型中的汇聚层起着上传下达的作用,汇聚交换机作为汇聚层的物理实体,主要的作用就是汇聚接入层交换机的数据,然后转发到核心交换机上,为核心层减轻负担。
扩展资料
汇聚交换机在网络中作用
汇聚交换机位于网络架构的中间位置,相当于公司的中层管理者,需要负责管理来自于下层(也就是接入层交换机)的数据,同时还要向上层(也就是核心层交换机)汇报数据。
通常,当汇聚交换机接收到来自于接入交换机的数据时,会对其进行本地路由、过滤、流量均衡、QoS优先级管理;然后,对其进行安全机制、IP地址转换、组播管理等处理;最后,根据处理结果将数据转发到核心层交换机或进行本地路由处理,以确保核心层正常运行。
由上可知,汇聚交换机具备源地址、目的地址过滤、实时策略、安全等多种功能的同时,还具备网络隔离、分段等功能。相对于接入交换机而言,汇聚交换机具备更佳的性能和更高的交换速度。
但在实际应用中,有的网络架构中只有接入交换机和核心交换机没有汇聚交换机。这是因为该网络规模小、简单且传输距离较短,用户为了降低网络成本,减轻维护负担,所以没有部署汇聚交换机。但,若是网络用户数超过了200,且未来用户数还会持续增长,建议还是部署汇聚交换机为好。
ACL代表访问控制列表。访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的,而ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。不需要。这样做要和电信协商VLAN10的问题,不会通。
1、一个端口接电信,把这个端口就设置为OUTSIDE。
2、另外一个端口不用设置,mode trunk,接您的远端办公室交换机。
3、远端办公室的交换机除了接口不需要配置。这样两边的网络是一个网络。
4、近端办公室用户端口全部设置为MODE PORK
优点是配置简单,缺点是广播域大。
复杂一些
1、在交换机上配置VLAN10和VLAN 11,在接远端TRUNK上仅配置VLAN11
2、把近端办公室使用到的所有端口配置为VLAN10。
3、必须注意启用两台交换机接口使用的管理地址段,和用户地址段不在一段上。
4、在交换机上做ACL,禁止VLAN11访问外网,禁止VLAN11访问除了管理地址和它本身之外的IP段。
这样可以保证远端办公室只能访问它自己,不能访问其它资源。
优点:控制灵活,缺点:配置复杂。
这里有几个知识必须提到。
1、VLAN的根必须在一台交换机上(虚拟的也如此),所以你自己配的VLAN和电信的VLAN不是一回事,即使VLAN ID相同,也不会通。
2、互相访问是路由器功能,VLAN控制(等互相不准访问)是交换机功能。如果使用一台设备既做路由器又做交换机,在配置时要清醒这时候到底是使用哪个功能。
希望帮到。不同的路由器或防火墙设备配置方法不尽相同,但大体原则一致:
源IP,目的IP,服务类型,端口号(只访问网页的话,端口号为80),行为控制(允许或拒绝),策略未定义的话,默认拒绝!访问控制列表(ACL)技术
ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)