交换机 ACL原理及配置详解

Cisco ACL原理及配置详解

作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞,

2010-04-22 09:49

标准访问控制列表实例二

配置任务：禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而

172.16.4.0/24中的其他计算机可以正常访问。

路由器配置命令：

access-list 1 deny host 172.16.4.13 设置ACL，禁止172.16.4.13的数据包通过

access-list 1 permit any 设置ACL，容许其他地址的计算机进行通讯

int e 1 进入E1端口

ip access-group 1 in 将ACL1宣告，同理可以进入E0端口后使用ip access-group 1 out来完成宣告。

配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯，传输数据包。

总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。

扩展访问控制列表：

上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW，FTP等)。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式

刚刚我们提到了标准访问控制列表，他是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW，FTP等)。扩展访问控制列表使用的ACL 号为100到199。

扩展访问控制列表的格式：

扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：

access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。

小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

扩展访问控制列表实例

我们采用如图所示的网络结构。路由器连接了二个网段，分别为

172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务，IP地址为172.16.4.13。

配置任务：禁止172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可以访问172.16.4.13上的WWW服务，而其他服务不能访问。

路由器配置命令：

access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101，容许源地址为任意IP，目的地址为172.16.4.13主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。

int e 1 进入E1端口

ip access-group 101 out 将ACL101宣告出去

设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了，就算是服务器172.16.4.13开启了FTP服务也无法访问，惟独可以访问的就是172.16.4.13的WWW 服务了。而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。

扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。

总结：扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，

扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL 的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。

基于名称的访问控制列表

不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL 的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。

一、基于名称的访问控制列表的格式：

ip access-list [standard|extended] [ACL名称]

例如：ip access-list standard softer就建立了一个名为softer的标准访问控制列表。

二、基于名称的访问控制列表的使用方法：

当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。

例如我们添加三条ACL规则

permit 1.1.1.1 0.0.0.0

permit 2.2.2.2 0.0.0.0

permit 3.3.3.3 0.0.0.0

如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2，如果使用不是基于名称的访问控制列表的话，使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。正是

因为使用了基于名称的访问控制列表，我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。

总结：如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。

反向访问控制列表：

我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击。

不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。

实验三交换机的基本配置

计算机网络实验报告 实验组号：课程：班级： 实验名称：实验三交换机的基本配置 姓名__________ 实验日期： 学号_____________ 实验报告日期： 同组人姓名_________________ 报告退发： ( 订正、重做 ) 同组人学号_ _______________________ 教师审批签字：通过不通过 实验三交换机的基本配置 一、:实验名称:交换机的基本配置 二、实验目的: 1.熟练掌握网络互联设备-交换机的管理配置方法，了解带内管理与带外管理的区别。 2.熟悉掌握锐捷网络设备的命令行管理界面 3.掌握交换机命令行各种配置模式的区别，以及模式之间的切换。 4.掌握交换机的基本配置方法。 三、背景描述： 1、你是公司新进的网络管理员，公司要求你熟悉网络产品，公司采用的是全系列的锐捷网络产品，首先要求你登录交换机，了解掌握交换机的命令行操作 2、公司有部分主机网卡属于10MBIT/S网卡，传输模式为半双工，为了能实现主机之间的正常通讯，现把和主机相连的交换机端口速率设为10Mbit/s,传输模式设为半双工，并开启该端口进行数据的转发。 3、你是公司的新网管，第一天上班时，你必须掌握公司交换机的当前工作情况，通过查看交换机的系统信息和配置信息，了解公司的设备和网络环境。 三、实验设备：每一实验小组提供如下实验设备 1、实验台设备：计算机两台PC1和PC2（或者PC4和PC5） 2、实验机柜设备：S2126(或者S3550)交换机一台 3、实验工具及附件：网线测试仪一台跳线若干 四、实验内容及要求： 1、S2126G交换机的管理方式：带内管理和带外管理。 带外管理方式：使用专用的配置线缆，将计算机的COM口与交换机的console 口连接，使用操作系统自带的超级终端程序，登录到交换机对交换机进行初始化配置，这种管理方式称作为带外管理。它不通过网络来管理配置交换机，不占用网络传输带宽，这种方式称作为带外管理。 带内管理方式：交换机在经过带外方式的基本配置后，就可以使用网络连接，通过网络对交换机进行管理配置，配置命令数据传输时，要通过网路线路进行，需要占用一定的网络带宽，浪费一定的网路资源，这种方式称为带内管理方式。 2、交换机命令行操作模式：(以实验小组7为例) ●用户模式：进入交换机后得到的第一个配置模式，该模式下可以简单察看交换机的软、硬件版 本信息，并进行简单的测试。用户模式提示符为：S2126G-7-1〉 ●特权模式：由用户模式进入的下一级模式，在该模式下可以对交换机的配置文件进行管理，查 看交换机的配置信息，进行网络的测试和调试，进行网络的测试和调试等。特权模式显示符为：S2126G-7-1＃

交换机和路由器的基本配置

实验一交换机和路由器的基本配置 交换机的基本配置 【实验名称】 交换机的基本配置。 【实验目的】 掌握交换机命令行各种操作模式的区别，能够使用各种帮助信息，以及用命令进行基本的配置。 【背景描述】 你是某公司新进的网管，公司要求你熟悉网络产品，公司采用全系列锐捷网络产品，首先要求你登录交换机，了解、掌握交换机的命令行操作技巧，以及如何使用一些基本命令进行配置。 【需求分析】 需要在交换机上熟悉各种不同的配置模式以及如何在配置模式间切换，使用命令进行基本的配置，并熟悉命令行界面的操作技巧。 【实验拓扑】 图1-1 实验拓扑图 【实验设备】 三层交换机1台 【预备知识】 交换机的命令行界面和基本操作 【实验原理】 交换机的管理方式基本分为两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络接口，其特点是需要使用配置线缆，近距离配置。第一次配置交换机时必须利用Console端口进行配置。 交换机的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式、端口模式等几种。 ???用户模式进入交换机后得到的第一个操作模式，该模式下可以简单查看交换机的软、硬件版本信息，并进行简单的测试。用户模式提示符为switch> ???特权模式由用户模式进入的下一级模式，该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。特权模式提示符为switch# ???全局配置模式属于特权模式的下一级模式，该模式下可以配置交换机的全局性参数（如主机名、登录信息等）。在该模式下可以进入下一级的配置模式，对交换机具体的功能进行配置。全局模式提示符为switch(config)# ???端口模式属于全局模式的下一级模式，该模式下可以对交换机的端口进行参数配置。端口模式提示符为switch(config-if)# 交换机的基本操作命令包括：

二层交换机基本配置详解

二层交换机基本配置詳解 1、进入特权模式 switch>(用户模式) 进入特权模式enable switch>enable按回车键Enter switch#(特权模式) 2、进入全局配置模式 进入全局配置模式configureterminal switch#configureterminal按回车键Enter Switch(config)#(全局配置模式) 3、交换机命名 交换机命名hostnameCY3C_HTLZYQ_P6ZHSA(以 CY3C_HTLZYQ_P6ZHSA为例) Switch(config)#hostnameCY3C_HTLZYQ_P6ZHSA按回车键Enter CY3C_HTLZYQ_P6ZHSA(config)# 4、创建Vlan 创建Vlan CY3C_HTLZYQ_P6ZHSA(config)#Vlan+n(n代表Vlan编号正常范围2—1000)按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-vlan)#name+名字(给Vlan创建个名字) 5、创建管理Vlan和管理IP地址

创建管理Vlan和管理IP地址 CY3C_HTLZYQ_P6ZHSA(config)#Vlan+n CY3C_HTLZYQ_P6ZHSA(config-vlan)#name+名字(根据自己想要的结果命名)按exit退出 CY3C_HTLZYQ_P6ZHSA(config)#interfaceVlan+n(n代表Vlan编号正常范围2—1000)按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-if)#ipaddress+管理ip地址+子网掩码按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-if)#noshutdown(开启Vlan) 6、设定此交换端口为trunk口 设定此交换端口为trunk口 CY3C_HTLZYQ_P6ZHSA(config)#interface+端口(比如F0/1)按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-if)#switchportmodetrunk(设定此交换端口为trunk即中继端口)按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-if)#noshutdown 7、把端口划分到Vlan内 把端口划分到Vlan内 CY3C_HTLZYQ_P6ZHSA(config)#interface+端口【(比如 F0/5)(把单个端口划分到Vlan内)】 CY3C_HTLZYQ_P6ZHSA(config-if)#switchportmodeaccess(设定f0/1端口的接入类型为接入端口即accessports.) CY3C_HTLZYQ_P6ZHSA(config-if)#switchportaccessvlan+n((把此端口即接入端口划分到vlann中，n为vlan号)按回车键Enter CY3C_HTLZYQ_P6ZHSA(config-if-range)#noshutdown

访问控制列表原理及配置技巧(acl)

1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤，经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。 访问控制别表具有方向性，是以路由器做参照物，来定义out或者in out：是在路由器处理完以后，才匹配的条目 in：一进入路由器就匹配，匹配后在路由。 编号范围为：1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上， 接口为距源最近的接口，方向为in，可以审核三层和四层的信息。 编号范围：100-199 如何判断应使用哪种类型的访问控制列表 标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。） 扩展：针对源地址，允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。（当源确定下来，具有单个源可有多个目的地址时。） 编号的作用： a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包 8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有） 10.在某个接口，某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤： 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法（通配符） 配置的过程中，熟记配置规则 1.标准列表：只基于ip协议工作，控制数据包的源地址 应用过程中：距目的地址近的路由器和接口 2.配置列表的步骤 1）选择列表的类型 2）选择路由器（是要在哪个上路由器上配置列表） 3.）选择要应用的接口（在哪个接口上调用） 4）判断列表的方向性（in和out：相对路由器） 3.标准列表的配置语法 1）在全局模式下，书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号：1-99 和1300 - 1999 通配符：零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2）调用列表

交换机基本配置_实验报告

交换机基本配置_实验报告计算机网络工程》 课程设计报告 交换机和交换机的基本配置 学生姓名 学号 班级 成绩 指导教师 广州大学纺织服装学院电子与信息工程系 2013年12 月 交换机和交换机的基本配置一、实验目的 1( 认识锐捷交换机 2( 进行交换机的基本信息查看，运行状态检查 3( 设置交换机的基本信息，如交换机命名、特权用户密码 4( 交换机不同的命令行操作模式以及各种模式之间的切换 5(交换机的基本配置命令。 、实验环境 1( 以太网交换机两台 2(PC多台 3(专用配置电缆多根 4(网线多根

三、实验准备

1、物理连接 交换机设备中配有一根Console （控制口）电缆线，一头为RJ45接口连接在交换 机的Console 端口，另一头为串行接口连接在 PC 机的串行口 （COM 口）上。 串口 2、软件设置 1）、运行Windows XP 操作系统的“开始”菜单？ “附件” ？ “通讯”中的“超 提示：如果附件中没有“超级终端”组件，你可以通过“控制面板”中的“添 加/删除程序”方式添加该组件。 2）、在“名称”文本框中键入新的超级终端连接项名称，如输入“ Switch ” 弹出对话框输入电话号区号（如:0593），点击“确定”按钮，弹出“连接到”对话 3）、在“连接时使用”的 级终端”软件，弹出“连接描述”对话框如图 12-6所示。 口 PC

下拉列表框中选择与交换 机相连的计算机的串口, 如选择“ COM ”。然后单击 “确定”按钮，弹出的对话框 如图12-7所示。 4）、COM U 性对话框中 图12-6超级终端 的参数设置可按照图 12-4中所示的参数来设置，需要说明的是每秒位数要一定要 端□说置 F 还原芜默认直?11 I 确足 ［取消I 5）、完成以上的设置工作 后，就可以打开交换机电源 了，登录交换机过程需要一

实验八 交换机的认识和基本配置

实验八交换机的认识和基本配置 一、实验内容与要求 1、多种交换机的了解 Quidway S2016, S2404, S3026, S3526, S3900，S2509； Cisco 等； 2、对多种交换机分别进行基本命令的熟悉； 3、掌握交换机各种参数的配置管理，IP地址配置等基本操作； 4、掌握交换机的本地管理、远程管理方法的基本操作； 5、通过对交换机管理配置，加强对网络工作原理及相关技术的掌握，同时熟练掌握涉及网络管理的基本技术技能，为高级网络管理应用打下良好基础。 二、实验原理 三、实验设备器材： 计算机一台，交换机一台，专用RS232控制台电缆一根。 四、实验方法步骤 1、交换机与PC的连接 （1）硬件连接：RS232电缆：连接线一头是RJ45头插入交换机Console口，另一头RS232串口接头插入计算机COM1/COM2口； （2）软件连接：启动Hypertrm超级终端程序（或SecureCRT），建立与交换机的连接名(即建立与交换机连接文件)，输入配置参数：串口号、通信速率（9600）即可与交换机通信。 2、Quidway交换机配置管理和应用 1 仔细观察交换机启动和命令显示界，显示说明交换机现在的工作接口是Aux口； 注：Console口，Aux口，vty都是用于配置交换机的接口。 当第一次配置交换机时，必须通过从Console口； Aux口是辅助端口，很少用； Vty是远程登录接口，如果要用telnet或web形式远程登录的话，必须通过这个接口来配置，但前提是已经通过Console口配置好了基本参数，如交换机IP等。 2、交换机当前工作方式（也称视图）： 普通用户方式 因为交换机有不同的工作模式，在各个模式下的命令也有所不同；（刚登录进交换机时的默认方式） 以下为不同的交换机工作模式（视图/方式）：

(整理)交换机的基本配置.

基本交换机的配置拓扑图如下： 一、编址表 二、学习目标 ●清除交换机的现有配置 ●检验默认交换机配置 ●创建基本交换机配置 ●管理MAC地址表 ●配置端口安全性 三、实验过程 任务1：清除交换机的现有配置 步骤1：键入enable命令进入特权模式 步骤2：删除VLAN数据库信息文件

步骤3：从NVRAM删除交换机启动配置文件 步骤4：确认VLAN信息已删除 步骤５：重新加载交换机

任务２：检查默认交换机配置步骤１：进入特权模式，键入enable 步骤２：检查当前交换机配置 （1）发出show running-config命令

交换机有多少个快速以太网接口？答：从上图显示，共有24个快速以太网接口 交换机有多少千兆以太网接口？答：2个 显示的VTY线路值范围是什么 ? 答：0-15 （2）发出show startup-config命令，检查当前NVRAM的内容 答：交换机作出这个响应的原因是因为在任务一中已经清楚了交换机中NVRAM的内容。（3）发出show interface vlan1命令，检查虚拟接口VLAN1 的特征

交换机设置了IP地址吗？答：从上图看出，此时交换机还没有配置IP地址 虚拟交换机接口的MAC地址是什么？答：从上图得出硬件地址即MAC地址是 0001.96ba.4e3b 此接口打开了吗？答：从vlan is administratively down，……得 出该接口应该没有打开 (4)发出show ip interface vlan1命令查看接口的IP 属性 看到的输出是什么？答：从上图的输出时vlan1没有打开，线路不通，互联网协议处理没 办法正常运行 步骤3：显示Cisco IOS信息

1 交换机的基本配置方法

实验一交换机的基本配置方法 一. 实验目的： 1. 掌握交换机常用配置方法 2. 掌握中低端交换机的基本命令行 二.实验设备 华为交换机3台,计算机3台 三. 实验内容及步骤： （一）以太网交换机基础 以太网的最初形态就是在一段同轴电缆上连接多台计算机，所有计算机都共享这段电缆。所以每当某台计算机占有电缆时，其他计算机都只能等待。这种传统的共享以太网极大的受到计算机数量的影响。为了解决上述问题，我们可以做到的是减少冲突域中的主机数量，这就是以太网交换机采用的有效措施。 以太网交换机在数据链路层进行数据转发时需要确认数据帧应该发送到哪一端口，而不是简单的向所有端口转发，这就是交换机MAC 地址表的功能。 以太网交换机包含很多重要的硬件组成部分：业务接口、主板、CPU、内存、Flash、电源系统。以太网交换机的软件主要包括引导程序和核心操作系统两部分。 （二）以太网交换机配置方式 以太网交换机的配置方式很多，如本地Console 口配置，Telnet 远程登陆配置，FTP、TFTP 配置和哑终端（TTY teletypewriter的缩写）方式配置。其中最为常用的配置方式就是Console 口配置和Telnet 远程配置。 注意:第一次进行交换机、路由器配置时必须使用Console本地配置。 1.通过Console口搭建配置环境 第一步：如图所示，建立本地配置环境，只需将微机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。 第二步：在微机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图所示。 第三步：以太网交换机加电，终端上显示以太网交换机自检信息，自检结束后提示用户

交换机的基本配置

基本交换机的配置 拓扑图如下： 一、编址表 二、学习目标 ●清除交换机的现有配置 ●检验默认交换机配置 ●创建基本交换机配置 ●管理MAC地址表 ●配置端口安全性 三、实验过程 任务1：清除交换机的现有配置 步骤1：键入enable命令进入特权模式 步骤2：删除VLAN数据库信息文件 步骤3：从NVRAM删除交换机启动配置文件 步骤4：确认VLAN信息已删除 步骤５：重新加载交换机 任务２：检查默认交换机配置 步骤１：进入特权模式，键入enable 步骤２：检查当前交换机配置 （1）发出show running-config命令 交换机有多少个快速以太网接口？答：从上图显示，共有24个快速以太网接口 交换机有多少千兆以太网接口？答：2个 显示的VTY线路值范围是什么 ? 答：0-15 （2）发出show startup-config命令，检查当前NVRAM的内容 答：交换机作出这个响应的原因是因为在任务一中已经清楚了交换机中NVRAM的内容。（3）发出show interface vlan1命令，检查虚拟接口VLAN1 的特征 交换机设置了IP地址吗？答：从上图看出，此时交换机还没有配置IP地址 虚拟交换机接口的MAC地址是什么？答：从上图得出硬件地址即MAC地址是 此接口打开了吗？答：从vlan is administratively down，……得 出该接口应该没有打开 (4)发出show ip interface vlan1命令查看接口的IP 属性 看到的输出是什么？答：从上图的输出时vlan1没有打开，线路不通，互联网协议处理没 办法正常运行

步骤3：显示Cisco IOS信息 交换机运行的CISCO IOS版本是多少？答：软件名为C2950-I6Q4L2-M，版本为12.1（22） EA4 系统图像文件名是什么？答： Ox 此交换机的基本MAC地址是什么？答： 步骤4：检查快速以太网接口 此接口是打开还是关闭的？ 答：从FastEthernet0/18 is down,line protocol is down 看出该接口是关闭的 什么事件会打开接口？答： switch# show interface事件可以打开接口 接口的MAC地址是什么？答： 该接口的速率和双工设置是什么？答：其双工设置的是半双工，速率是：100Mb/s 步骤5：检查VLAN信息 VLAN1的名称是什么？答：Default：默认 此VLAN中有哪些端口？答：Fa0/1～Fa0/24，24个快速以太网接口，2个千兆以太网接 口 Vlan1是活动的吗？答：Vlan1是活动的，从active看出 什么类型的VLAN是默认的VLAN? 答：enet类型的vlan是默认的 步骤6：检查闪存 发现了哪些文件或目录？ 答：发现了一个 rw的目录，里面有 c2950-i6q412-mz.121-, 该文件共字节，剩余的空间还有字节 步骤7：检查并保存启动配置文件 把要运行配置文件的内容保存到非易失性RAM(NVRAM) 任务3：创建基本交换机配置

交换机基本配置

交换机基本配置 主要内容及目的 (1)了解交换机配置的方法。 (2)掌握CLI配置环境。 (3)掌握交换机的基本配置。 技术标准及要求 1、交换机的配置方法 配置交换机主要有五种方法： ●控制台（Console口） ●虚拟终端（Telnet） ●TFTP服务器 ●Web方式 ●网管工作站 在上述五种方法中，交换机的第一次配置必须通过控制台方式进行。在控制台方式下对交换机进行了相关配置（例如配置管理IP）以后，才可以使用其他配置方式管理交换机。 (1)控制台配置方式，其配置步骤如下： 第一步：设备连接。 在交换机关机的情况下，利用带RJ45连接器的配置电缆（Console线）将计算机的串口与交换机的Console口相连。如图5-1所示。 第二步：设置超级终端。 在Windows操作系统中按照“开始→程序→附件→通讯→超级终端”步骤，打开如图5-2界面，输入自定义的连接名称，然后单击“确定”按钮。 当出现5-3所示的界面后，选取连接交换机所用的PC端口。配置电缆一般都是通过COM1来连，所以我们选取COM1。 图 5-2 通过超级终端连接交换机 图 5-3 选择连接时使用的端口 当出现图5-4界面时，我们可以在“每秒位数”下

拉列表框中选择9600，其他各项均采用默认值。也可以直接单击“还原为默认值”按钮，然后单击“确定”，此时显示图4-5超级终端界面。至此，超级终端已经做好与交换机控制台连接的准备了。 图 5-4 设置连接参数图 5-5 超级终端界面 第三步：接通交换机电源，连续按几次“回车”键。在PC机超级终端界面中就会显示交换机的开机信息，并进入交换机的配置模式选择菜单。 第四步：选择配置和管理交换机的方式。按回车，进入命令行配置方式（CLI：Command-Line Interface）。 由于控制台方式不需要占用交换机的网络带宽，所以又称为带外管理方式。 (2)通过Telnet配置 Telnet是基于TCP/IP的协议，如果交换机已经用控制台方式配置了管理IP，就可以使用PC的Telnet程序远程登录交换机并进入交换机的命令行配置模式（CLI）。虽然Telnet与控制台方式的表现形式不同，但两者的配置界面相同。其配置步骤如下： 第一步：设备连接。 把计算机的网卡与交换机的某Ethernet端口用直通网线连接起来。 第二步：运行TELNET终端仿真程序登陆交换机。 在Windows操作系统中打开“开始→运行”，输入“telnet ip-address”或者“telnet hostname”命令登录交换机进行管理和配置（ip-address指的是交换机的管理IP，hostname指的是交换机的域名或者主机名）。假设交换机的管理IP为192.168.1.1，则操作如图5-6所示。 图4-6 用TELNET方式管理交换机

交换机的配置讲解

交换机的配置 实验1 交换机的启动和基本配置 一．实验目的 1．掌握H3C二层交换机的启动和基本设置的操作； 2．掌握配置交换机的常用命令。 二．实验内容 1．对H3C交换机的启动和基本设置的操作； 2．熟悉交换机的开机画面； 3．对交换机进行基本的配置； 4．理解交换机的端口、编号及配置。 三．实验环境的搭建 通过Console电缆把PC机的COM端口和交换机的Console端口连接起来, 如图示。 ?准备PC机1台，操作系统为Windows2000 Professional； ?准备H3C 交换机1台； ? Console电缆1条。 四．实验操作实践与步骤 1．串口管理 用串口对交换机进行配置是我们在网络工程中对交换机进行配置最基本最常用的方法。用串口配置交换机是通过Console电缆把PC机的COM端口和交换机的Console端口连接起来。 步骤: 1) 通过Console电缆把PC机的COM端口和交换机的Console端口连接起来。 并确认连接PC机的串口是COM1还是COM2, 给交换机加电。 2)点击“开始”-“程序”-“附件”-“通讯”-“超级终端”，进入超级终端窗口,点击“”图标，建立新的连接，系统弹出如下图所示的连接说明界面。

3)在连接说明界面中键入新连接的名称，单击[确定]按钮，系统弹出如下图所示的界面图，在[连接时使用]一栏中选择连接使用的串口(COM1或COM2) 。 4)串口选择完毕后，单击[确定]按钮，系统弹出如下图所示的连接串口参数设置界面，设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无。如下图所示：

ACL详解

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示： 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。 那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则： 最小特权原则：只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则：所有的网络层访问权限控制 局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应

ACL配置实验

ACL配置实验 一、实验目的： 深入理解包过滤防火墙的工作原理 二、实验内容： 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示，1,2,3是主机，4是服务器 1、配置主机，服务器与路由器的IP地址，使网络联通； 2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL； 3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL； B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL 限制远程登录（telnet）到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机，服务器与路由器的IP地址，使网络联通；

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

思科交换机实用配置步骤详解

1.交换机支持的命令： 交换机基本状态： switch: ;ROM状态，路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置： switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令

交换机VLAN设置： switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1，2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继 switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址： switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关

交换机配置主要步骤

交换机配置主要步骤 Revised final draft November 26, 2020

交换机配置主要步骤： 1.通过超级终端进去查看vlan号，如果有ip地址，那么电脑设置同一网段，命 令：discur 2.配置vlanif的逻辑管理接口：如果没有ip地址，通过interfacevlanif1口进 入后，进行ipaddress和掩码设置：配置管理IP 缺省情况下，S-switch设备的管理VLAN是VLAN1。 首先，查看VLAN的基本信息，使用的命令是displayvlan。 配置vlan1的VLAN逻辑接口作为管理ip。 步骤1?执行命令system-view，进入系统视图。 步骤2执行命令interfacevlanifvlan-id，创建接口VLANIF并进入VLANIF接口视图。 步骤3执行命令ipaddressip-address{mask|mask-length}[sub]，配置接口VLANIF的IP地址。 system-view [KangZhuang_175.111]interfacevlanif?1 [KangZhuang_175.111]ip?address 通过discur最后查看是否有密码，如果没有进行交换机密码为“azhuwen”设置和权限等级设置命令：user-interfacevty04，进入后 setauthenticationpassword simple azhuwen，或者 setauthenticationpassword cipher123456/*simple能显示密码，cipher不显示密码 3.再进行权限设置为3级，userprivilegelevel3。这样通过telnet就可以登

交换机的基本配置命令的知识点

交换机的基本配置命令的知识点 相关知识和技能 1、认识交换机的各种端口，知道各种配置交换机的线缆 2、交换机的分类、常用交换机的配置访问方式 3、会配置交换机仿真终端，熟练配置交换机的用户界面 4、会使用交换机的帮助命令，能通过telent配置交换机 5、知道交换机端口各种参数的含义能熟练配置交换机端口的参数 6、熟练使用以太网交换机的常用系统命令，会使用命令查看交换机的基本信息，了解交换机的有硬件组成和硬件参数 认识交换机 各种交换机的数据接口类型一览 1、RJ-45接口：这种接口就是现在最常见的网络设备接口，俗称“水晶头” 2、SC光纤接口：在一些SC光纤接口主要用于局网交换环境，在一些高性能千兆交换机和路由器上提供了这种接口，它与RJ-45接口看上去很相似，不过SC接口显得更扁些，其明显区别还是里面的触片，如果是8条细的铜触片，则是RJ-45接口，如果是一根铜柱则是SC 光纤接口 3、FDDI接口：FDDI是目前成熟的LAN技术中传输速率最高的一种，具有定时令牌协议的特性，支持多种拓扑结构，传输媒体为光纤 由于使用光纤作为传输媒体具有容量大、传输距离长、抗干扰能力强等多种优点，常用于城域网、校园环境的主干网、多建筑物网络分布的环境，于是FDDI接口在网络骨干交换机上比较常见，现在随着千兆的普及，一些高端的千兆交换机上也开始使用这种接口 4、AUI接口：AUI接口专门用于连接粗同轴电缆，早期的网卡上有这样的接口与集线器、交换机相连组成网络，现在一般用不到了 5、BNC接口：BNC是专门用于与细同轴电缆连接的接口，细同轴电缆也就是我们常说的“细缆”，它最常见的应用是分离式显示信号接口，即采用红、绿、蓝和水平、垂直扫描频率分开输入显示器的接口，信号相互之间的干扰更小 现在BNC基本上已经不再使用于交换机，只有一些早期的RJ-45以太网交换机和集线器中还提供少数BNC接口 6、Console接口：可进行网络管理的交换机上一般都有一个“Console”端口，它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机，是配置和管理交换机必须经过的步骤。因为其他方式的配置往往需要借助于IP地址、域名或设备名称才可以实现，而新购买的交换机显然不可能内置有这些参数，所以Console端口是最常用、最基本的交换机管理和配置端口。 不同类型的交换机Console端口所处的位置并不相同，有的位于前面板，而有的则位于后面板。通常是模块化交换机大多位于前面板，而固定配置交换机则大多位于后面板。在该端口的上方或侧方都会有类似“CONSOLE”字样的标识。 除位置不同之外，Console端口的类型也有所不同，绝大多数交换机都采用RJ－45端口，但也有少数采用DB－9串口端口或DB－25串口端口。 认识配置交换机的线缆 线缆类别：交叉线、直连线、串行配置线、RJ-45扁平线、USB接口配置线

思科交换机基本配置(非常详细)

cisco交换机基本配置 1．Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS（Internetwork Operating System，互联网际操作系统）或COS （Catalyst Operating System），其中以IOS使用最为广泛，该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令，可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点： (1)支持通过命令行（Command-Line Interface，简称CLI）或Web界面，来对交换机进行配置和管理。 (2)支持通过交换机的控制端口（Console）或Telnet会话来登录连接访问交换机。 (3)提供有用户模式（user level）和特权模式（privileged level）两种命令执行级别，并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。 (4)在用户模式，仅能运行少数的命令，允许查看当前配置信息，但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下，支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用？来获得命令行帮助，支持命令行编辑功能，并可将执行过的命令保存下来，供进行历史命令查询。 1.搭建交换机配置环境 在对交换机进行配置之前，首先应登录连接到交换机，这可通过交换机的控制端口（Console）连接或通过Telnet登录来实现。 (1)通过Console口连接交换机 对于首次配置交换机，必须采用该方式。对交换机设置管理IP地址后，就可采用Telnet登录方式来配置交换机。 对于可管理的交换机一般都提供有一个名为Console的控制台端口（或称配置口），该端口采用RJ-45接口，是一个符合EIA/TIA-232异步串行规范的配置口，通过该控制端口，可实现对交换机的本地配置。 交换机一般都随机配送了一根控制线，它的一端是RJ-45水晶头，用于连接交换机的控制台端口，另一端提供了DB-9（针）和DB-25（针）串行接口插头，用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口，但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。 通过该控制线将交换机与PC机相连，并在PC上运行超级终端仿真程序，即可实现将PC机仿真成交换机的一个终端，从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序，对于Windows 2000 Server系统，该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面，若没有，可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】，即可启动超级终端。 首次启动超级终端时，会要求输入所在地区的电话区号，输入后将显示下图所示的连接创建对话框，在【名称】输入框中输入该连接的名称，并选择所使用的示意图标，然后单击确定按钮。 图9-2 超级终端连接创建对话框

交换机的基本配置与管理

交换机的基本配置与管 理 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

交换机的基本配置与管理 实验目标：掌握交换机的基本配置与管理 实验背景：某公司新进一批交换机，在投入网络以后要进行初始配置与管理，你作为网络管理员，要对交换机进行基本的配置与管理。 技术原理：交换机的管理分为带外管理和带内管理。 通过交换机的console端口管理交换机属于带外管理，这种管理方式不占用 交换机的网络端口，第一次配置交换机必须使用console端口进行配置。 通过telnet,拨号等方式属于带内管理。 交换机的命令行模式： 用户模式：switch>enable可以查看交换机的硬件，软件，版本信息， 特权模式：switch#configterminal可以查看交换机的配置信息，测试与调试 全局模式：switch(config)#interfacef0/1可以配置主机名，登陆信息等 端口模式：switch(config-if)# exit返回到上一级模式 end返回到特权模式 命令帮助：cocopy(显示该模式视图以copy开头的帮助信息) 交换机支持简写。configterminal:cont Ctrl+c是快捷键，起到中止的作用。 特权模式下:输入reload可以重启交换机。 实验步骤： 新建拓扑图，拖入1台2960交换机，和1台pc机，然后用配置线相连。 懂得4种模式之间的切换 设置交换机的名字：hostnamex（全局模式下）Switch(config)#hostnamesw1 配置交换机端口参数：speedduplex 查看交换机的版本信息：showversion（特权模式下配置） 查看当前生效的配置信息：showrunning（特权模式下配置） int+tab?可以补齐interface 通过交换机的pc对交换机进行配置： Pc-桌面-terminal switch>enable switch#configterminal Switch(config)#hostnamesw1 switch(config)#interfacef0/1 switch(config-if)#speed?有10,100,auto, 10Force10Mbpsoperation设置接口速率为10 100Force100Mbpsoperation autoEnableAUTOspeedconfiguration自动速率配置 switch(config-if)#speed100设置100，默认单位是mbit/s Switch(config-if)#duplex?有full,half,auto, autoEnableAUTOduplexconfiguration启动自动双工配置 fullForcefullduplexoperation全双工配置 halfForcehalf-duplexoperation半双工配置 switch(config-if)#duplexfull设置为全双工， switch(config-if)#end退回到特权模式，