思科模拟器-实验 18 三层交换访问控制列表配置

【实验内容】

(1) 选择一台C3560-24PS作为核心的三层交换机，一台C2960作为接入的二层交换 机，按实验线路连接图进行连接。连接好线路图后，并对各台计算机进行相应的 IP地址和网关配置。

(2) 按照实验线路连接图，在SW1上分别完成VLAN配置，并在VLAN中添加相应的 端口成员，同时配置Trunk端口。

Switch>enSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#vlan 30Switch(config-vlan)#exitSwitch(config)#interface Fa0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface Fa0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface Fa0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exitSwitch(config)#exitSwitch#%SYS-5-CONFIG_I: Configured from console by consoleSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface Fa0/24Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 10,20,30Switch(config-if)#exitSwitch(config)#exitSwitch#%SYS-5-CONFIG_I: Configured from console by console

(3)在L3Switch上创建VLAN10、VLAN20和VLAN30，并配置VLAN10的虚接口IP地址、 VLAN20的虚接口IP地址和VLAN30的虚接口IP地址，并在L3Switch上使用show ip route命令查看直连路由。

Switch>enSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname L3SwitchL3Switch(config)#vlan 10L3Switch(config-vlan)#vlan 20L3Switch(config-vlan)#vlan 30L3Switch(config-vlan)#exitL3Switch(config)#interface vlan 10L3Switch(config-if)#%LINK-5-CHANGED: Interface Vlan10, changed state to upL3Switch(config-if)#ip address 192.168.10.1 255.255.255.0L3Switch(config-if)#no shutdownL3Switch(config-if)#exitL3Switch(config)#interface vlan 20L3Switch(config-if)#%LINK-5-CHANGED: Interface Vlan20, changed state to upL3Switch(config-if)#ip address 192.168.20.1 255.255.255.0L3Switch(config-if)#no shutdownL3Switch(config-if)#exitL3Switch(config)#interface vlan 30L3Switch(config-if)#%LINK-5-CHANGED: Interface Vlan30, changed state to upL3Switch(config-if)#ip address 192.168.30.1 255.255.255.0L3Switch(config-if)#no shutdownL3Switch(config-if)#exitL3Switch(config)#exitL3Switch#%SYS-5-CONFIG_I: Configured from console by consoleL3Switch#show ip route

L3Switch#config tL3Switch(config)#ip routingL3Switch(config)#exitL3Switch#%SYS-5-CONFIG_I: Configured from console by consoleL3Switch#vlan databaseL3Switch(vlan)#vlan 10 name VLAN10VLAN 10 modified:Name: VLAN10L3Switch(vlan)#vlan 20 name VLAN20VLAN 20 modified:Name: VLAN20L3Switch(vlan)#vlan 30 name VLAN30VLAN 30 modified:Name: VLAN30L3Switch(vlan)#exitL3Switch#config tEnter configuration commands, one per line. End with CNTL/Z.L3Switch(config)#interface range fastEthernet 0/1L3Switch(config-if-range)#switchport trunk encapsulation dot1qL3Switch(config-if-range)#switchport mode trunkL3Switch(config-if-range)#exit

(4) 完成以上配置后，可以实现各台计算机之间相互ping通。

(5)配置访问控制列表，要求管理部可以访问财务部，而其他部门不能访问财务部。

L3Switch>enL3Switch#config tEnter configuration commands, one per line. End with CNTL/Z.L3Switch(config)#access-list 1 permit 192.168.20.0 0.0.0.255L3Switch(config)#access-list 1 deny 192.168.30.0 0.0.0.255L3Switch(config)#interface vlan 10L3Switch(config-if)#ip access-group 1 outL3Switch(config-if)#

(6)完成以上配置后，可以实现192.168.20.2可以ping 通192.168.10.2，而 192.168.30.2不能ping通192.168.10.2。

(7)使用 show ip access-lists 查看访问控制列表配置的内容。