路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置

弓背霞明剑照霜，秋风走马出咸阳。这篇文章主要讲述路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置相关的知识，希望能为你提供帮助。
思科实验ACL原理概述：访问控制列表(ACL)是一种基于包过滤的??访问控制技术??，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于??路由器??和??三层交换机??，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障??网络安全??。

1）限制网络流量、提高网络性能。
例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。
2）提供对通信流量的控制手段。
3）提供网络访问的基本安全手段。
4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

①当一个数据包进入一个端口，路由器检查这个数据包是否可路由。
如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据包。
如果有，根据ACL中的条件指令，检查这个数据包。
如果数据包是被允许的，就查询路由表，决定数据包的目标端口。
②路由器检查目标端口是否存在ACL控制流出的数据包。
若不存在，这个数据包就直接发送到目标端口。
若存在，就再根据ACL进行取舍。然后在转发到目的端口。
总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。
当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。
访问控制列表的使用

ACL的使用分为两步：
(1)创建访问控制列表ACL，根据实际需要设置对应的条件项；
(2)将ACL应用到路由器指定接口的指定方向(in/out)上。
在ACL的配置与使用中需要注意以下事项：
(1)ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。
(2)当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。
(3)每个接口在每个方向上，只能应用一个ACL。
(4)标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。

ACL的应用ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。
2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。
3、控制穿越网络设备的流量和网络访问。
4、通过限制对路由器上某些服务的访问来保护路由器，如HTTP、SNMP和NIP等。
【路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置】5、为DDR和 IPSeC VPN定义感兴趣流。
6、能够以多种方式在ios中实现QoS(服务质量)特性。
7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

实验目的：理解ACL(访问控制列表)的使用
掌握如何配置ACL(访问控制列表)
实验要求：实现全网互通，采用OSPF协议，然后使用ACL要求学生机可以访问web但是不能访问ftp，老师机都能访问

实验拓扑：
配置命令：1841-8:

interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto

1841-9：

interface FastEthernet0/0
ip address 192.168.100.254 255.255.255.0
ip access-group 1 out
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.200.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto

配置OSPF：1841-8：

router ospf 1
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

1841-9：

router ospf 1
log-adjacency-changes
network 192.168.200.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

配置完成后，查看路由表：1841-8：
1841-9：
Ping一下
可以ping通，我们开始配置ACL实现要求学生机不能访问ftp，可以访问web在1841-9上配置ACL：

access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

配置完成：
我们看一下效果：

实现了要求学生机可以访问web但是不能访问ftp；
实验结束；

思科Telnet注意：在特权模式下，思科write保存
实验拓扑：
PC地址配置：

地址配置：

Switch> en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password 1234 //配置密码

配置telnet：

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0 4 创建5个用户
Switch(config-line)#login
% Login disabled on line 1, until password is set
% Login disabled on line 2, until password is set
% Login disabled on line 3, until password is set
% Login disabled on line 4, until password is set
% Login disabled on line 5, until password is set
Switch(config-line)#password 5678 //配置telnet密码
Switch(config-line)#end

单交换机划分vlan?注意：交换机与pc连接接口使用access
交换机与交换机连接接口使用trunk
?
实验拓扑：
多交换机划分vlan实验拓扑：
实现效果同vlan之间可以互通，不同vlan之间不可以访问
配置命令：

En
Conf t
Vlan 10
Vlan 20
Int f0/1
Sw ac vl 10
Int f0/2
Sw ac vl 20
Int f0/3
Sw mo tr

利用三层交换机来实现不同vlan之间可以相互通信?IP routing：开启三层交换机路由功能，默认是关闭的

SW1:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
!
interface FastEthernet0/4
switchport mode trunk

SW2:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
SW3:
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk

交换机端口聚合实验拓扑：
配置命令：

interface FastEthernet0/1
!
interface FastEthernet0/2
switchport mode trunk
channel-group 1 mode on
!
interface FastEthernet0/3
switchport mode trunk
channel-group 1 mode on

同时配置多个接口：