基于核心交换机的校园网络安全策略实现.pdf

网络地带 · SW2960(config)#interfaceinterface—id SW6509(config)#interfacef0／24 SW2960 (config—if)#switchportmodeaccess SW6509(config-if) #ip address 218．3．172．50 SW2960(config—if)#switchportaccessvlan vlan— 255．255．255．0 id SW6509 (config—if)#ipnatoutside SW2960#show interface interface—id switchport ／木配置需要转换的ACL* ／ ／木配置trunk端El* ／ SW6509 (conf ig ) #access— list 1permit SW2960#conf igure terminal 172．26．0．0 0．0．0．255 SW2960(config)#interfacef0／24 SW6509 (conf ig ) #access 一1ist 1 Permit SW2960(conf ig—if)#switchportmodetrunk 172．25．0．0 0．0．0．255 SW2960(config—if)#end ／木配置交换机6509，改名为SW6509．／ ／术地址翻译，配置地址池木 ／ SW6509#set vlan 10 name vlO type ethernet mtu SW6509 (conf ig ) #ip nat Pool xuexiao 1500 said 100008 state active 218．3．172．50 218．3．172．50 netmask 255．255．255．0 ／木配置trunk上允许的VLAN* ／ ／木实现私有地址与公网地址的转换水／ SW2960(config)#interfaceinterface—id SW6509(config ) #ip nat inside source list 1 SW2960(config—if)#switchpor tmodetrunk poolxuexiao overload SW2960(conf ig—if ) #switchport trunk allowed 4访问控制ACL列表策略实现 vlan removevlan—idrange 访问控制列表也称为访问列表(Access—List) ，它主要 SW2960(conf ig—if )#switchport trunk allowed 功能是对进出路由器端口的数据包进行过滤，符合条件的数据 vlan addvlan—idrange 包允许通过，不符合条件的数据包不允许通过。它对病毒入侵、 SW2960(config—if)#end 黑客攻击、未经授权访问等网络行为有遏止作用。 SW6509 #set trunk 3／6 auto nego tiate ／木教学办公网段访问限制，阻止相关探测木／ 10，253，1002，1005 SW6509(config ) #access一1isy 100 deny icmp 3NAT地址转换策略