路由交换之VLAN-MAP详解(CCIE实验必考特性)
2008-10-17 09:45
375 查看
路由交换之VLAN-MAP详解(CCIE实验必考特性) |
就一个特性,没有什么拓扑图来介绍了! 如果您看完本帖,还有疑问 可以PM我! 以下摘自个人的备考 备课笔记和CCIE RS考试特性专题: http://www.56cto.com/html/Center/News/Cisco/200805/07-22669.html VLAN MAP 是应用于VLAN中的一种访问控制应用 ------------------------------------------------------------------------------------------------ 下面是CCIE-Lab真实考题中的一个应用: 7 Filtering: VLAN-Map(没做好会影响到BB2ping不通) On VLAN_BB2(即VLAN50), do not allow(=block) vines-ip traffic. Other traffics are permitted. 问:如何知道在SW2上做呢? BB2-------SW2-F0/10 Sw2 : Vines-ip 主机系统协议 #mac access-list extended VINES-IP ----------二层抓 permit any any vines-ip #vlan access-map cisco 10 action drop match mac address VINES-IP #vlan access-map cisco 20 ---- //默认最后一条是DROP action forward #vlan filter cisco vlan-list 50 ---在VLAN 50上加载一个名为cisco的前缀列表,用前缀列表决定VLAN过滤(---记得一定要加过滤这一条) 检查:SW2# sh vlan access-map SW2# sh vlan filter ------------------------------------------------------------------------------------------------- 使用vlan access-map的全局配置命令去创建一个VLAN MAP ,当你使用match 命令来指定需要匹配的IP或非IP的流量,并使用action的命令去设置匹配后数据包的处理是转发还是丢弃。 (vlan map是用在vlan内部的,所以它不能具体指定是应用在哪个方向的,它是应用在vlan接口上的而不是普通的接口上。它可以和router acl结合使用) 同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下: vlan access-map name [number] number 这个可选项是map的序列号(0到65535)。默认为10,并且以10递增。 在全局配置模式下,使用使用vlan filter命令去应用这个MAP到一个或多个VLAN上。 例如,要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外网通讯,但是相互之间不可以相互访问: ip access-list V1 permit ip any 192.168.2.0 0.0.0.255 //匹配访问VLAN 2的流量。 ip access-list V2 permit ip any 192.168.1.0 0.0.0.255 //匹配访问VLAN 1的流量。 以下定义access-map阻止顺序,先由10开始,过滤掉xxx信息,再到20 vlan access-map D1to2 10 match ip address V1 //匹配访问VLAN 2的流量 action drop //凡是访问VLAN 2的流量都丢弃 exit vlan filter D1to2 vlan-list 1 //将VLAN MAP 应用到VLAN 1 vlan access-map D2to1 10 match ip address V2 //匹配访问VLAN 1的流量 action drop //凡是访问VLAN 1的流量都丢弃 exit vlan filter D2to1 vlan-list 2 //将VLAN MAP 应用到VLAN 2 二.IOS系统下的VACL 1.编写ACL (1)表准访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下: router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log] (2)扩展访问列表 扩展访问列表主要增加报文过滤能力,一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP等,协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100~199,2000~2699。 (3)基于名称的访问列表 基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑,名字可以更加容易的记住访问控制列表的功能,命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句,而编号访问控制列表只能删除整个访问控制。语法如下: router(config)#ip access-list {standard | extended} name 这表示要进入的name所指定的列表配置模式,所有的permit和deny操作都是进入到这个模式下进行配置的。 2.创建映射 VACL主要区别于上述ACL操作的方法,就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步,命令与法和解释如下: 命令一:(global) vlan access-map name [number] vlan access-map后面的名字定义的时候最好有针对性或者提示性,而后续的设置的子句都使用number选项。如果在这里进行了分组的设置,每一个子句都要经过匹配检测,直到没有发现匹配语句才丢弃分组。 命令二:(vlan-map) match ip address {aclname | aclnumber} 执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号,而ACL定义的permit语句在这里表示匹配的意思,deny表示不匹配。 命令三:(vlan-map) action {drop | forward} 交换机根据匹配ACL确定的匹配,action命令后面的参数才是代表流量是允许(forward)还是丢弃(drop)。 3.应用与检查 完成之前的配置后,需要用vlan filter命令把访问列表应用到交换机。格式如下: (global) vlan filter mapname vlan-list list Mapname参数对应的是vlan access-map命令创建的映射名称,list是vlan的序号。都配置完成之后,可以利用show命令检查VACL工作的状态,命令如下: * show ip access-lists [number | name] * show vlan access-map [mapname] * show vlan filter [access-map name | vlan vlan-id] * show ip interface type number 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://59099.blog.51cto.com/49099/89762 |
相关文章推荐
- 路由交换之VLAN-MAP详解(CCIE实验必考特性) 推荐
- CCIE试验备考之交换VLAN间路由
- CCIE试验备考之交换VLAN间路由 推荐
- CCIE试验备考之交换VLAN间路由
- 三层交换(VLAN间互通+路由功能)+VTP+STP(PVST)综合实验
- 三层交换(VLAN间互通+路由功能)+VTP+STP(PVST)综合实验(理论+实践=真实)
- NA-NP-IE系列实验51: 三层交换实现VLAN 间路由
- CCIE路由交换实验考试中常用的show命令
- CCNP交换.VLAN间路由 单臂路由实验
- 十六、三层交换(VLAN间互通+路由功能)+VTP+STP(PVST)综合实验
- CCIE试验备考之交换VLAN间路由
- 路由交换笔记(28)--ACL-NAT-VLAN-DHCP综合实验配置
- CCIE-交换路由复习笔记
- 实验 利用三层交换机实现 VLAN 间路由
- CCNP实验:三层交换实现VLAN间DHCP中继代理
- 78、VLAN间路由配置实验之单臂路由
- 路由交换实验4
- Vlan间路由实验(单臂路由实现法)
- Ocelot简易教程(三)之主要特性及路由详解