交换机的VACL测试

一.测试拓扑:

R1------------SW1------------------(MAC:2.2.2)R2

|

R3

R1,R2,R3都在VLAN11中,R1连接SW1的接口手工指定mac地址为1.1.1,R2连接SW1的接口手工指定mac地址为2.2.2;

R1接口的IP地址为10.1.1.1;

R2接口的IP地址为10.1.1.2;

R3接口的IP地址为10.1.1.3.

二.交换机VACL第一种配置方式:

mac access-list extended R2

permit host 0002.0002.0002 any   (只能屏蔽非IP包,比如arp包)

access-list 100 permit ip host 10.1.1.3 any

vlan access-map test 10

match ip address 100

action drop

vlan access-map test 20

match mac address R2

action drop

vlan access-map test 30

action forward

!

vlan filter test vlan-list 11

因为SW1拒绝了R2发出的非IP包(arp回应包被拒绝了),R1和R3没有R2接口地址的ARP条目,导致R1无法ping和telnet R2,如果R1手工添加R2接口地址的ARP条目,R1则能pint和telnet R2,返回过来也可以。

A.R1 PING R3

R1#ping 10.1.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

R3#

*Feb 12 11:19:41.002: ICMP: echo reply sent, src 10.1.1.3, dst 10.1.1.1

*Feb 12 11:19:43.002: ICMP: echo reply sent, src 10.1.1.3, dst 10.1.1.1

*Feb 12 11:19:45.002: ICMP: echo reply sent, src 10.1.1.3, dst 10.1.1.1

*Feb 12 11:19:47.002: ICMP: echo reply sent, src 10.1.1.3, dst 10.1.1.1

*Feb 12 11:19:49.002: ICMP: echo reply sent, src 10.1.1.3, dst 10.1.1.1

B.R3 PING R1

R3#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

在R1上开启debug没有看到数据包到达R1

时间: 2024-10-27 17:31:14

交换机的VACL测试的相关文章

传输自环导致中兴2826交换机无法网管的故障案例

2012年8月,现网使用的一台中兴2826交换机出现无法远程telnet登录的情况,ping交换机的网管IP地址存在严重丢包.处理过程大概如下: 1.现场通过console口登录交换机,确认设备配置正常. 2.使用测试终端配置IP地址,接上交换机的网管端口,ping交换机不通:测试终端配置交换机的IP地址连接到网络,能够ping通网管,确认网络侧没有问题:怀疑交换机网管端口有问题 3.更换交换机的网管端口,发现故障现象仍然存在,怀疑交换机整机有问题 4.对中兴交换机进行整机更换,更换后发现故障现

交换机中网络环路常见问题详解

    以太网中的交换机之间存在不恰当的端口相连会造成网络环路,如果相关的交换机没有打开STP功能,这种环路会引发数据包的无休止重复转发,形成广播风暴,从而造成网络故障. 一天,我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题--其接入交换机与校园网的连接中断.检查放置在网络中心的汇聚交换机,测得与之相连的100BASE-FX端口有大量的入流量,而出流量却非常少,显得很不正常.然而这台汇聚交换机的性能似乎还行,感觉不到有什么问题.于是,我们在这台汇聚交换机上镜像这个异常端口,用协议

统一交换机接口的千难万阻

现在数据中心和企业网中,网络设备中交换机占了很大的数目.互联网公司数据中心传统的架构里需要大量采购交换机等网络设备,而现在新兴的云计算中的网络和企业网组建内部网络也需要大量的此类设备,大家都因为交换机的CLI或API接口不统一而面临如何不被厂家锁定的问题,这里不仅仅有价格利益上的因素,更多的是技术上希望有较多的选择.而在SDN领域里,统一南向接口更是控制转发分离后,SDN控制器来管理底层网络的基础. 通常造成交换机管理或控制比较难统一的因素大概有这么几类: 第一,交换机芯片商和交换机设备商厂家众

对以太网交换机常见问题详解

我们把该接入以太网交换机上的网线都拔掉,以太网交换机的100BASE-FX端口转发线速可达144000pps.在这种网络环路状态下,用户可以轻轻松松的工作和生活了.一天,我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题--其接入交换机与校园网的连接中断.检查放置在网络中心的汇聚交换机,测得与之相连的100BASE-FX端口有大量的入流量.出流量却非常少,显得很不正常.然而这台汇聚以太网交换机的性能似乎还行,感觉不到有什么问题. 于是,我们在这台汇聚交换机上镜像这个异常端口,用协议分

千兆接入交换机

此次征集到的18款千兆接入交换机中带2个千兆端口的交换机有12款,带1个千兆端口的有6款.参测的带千兆铜线端口的交换机只有2款,千兆端口多为1000Base-SX端口,只有港湾科技的Flexhammer24带一个1000Base-LX端口.这些交换机中EDIMAXES-5224r+.Netcore 7224NSS.Netcore 7224MST.LeapComm GMS5024三款交换机属于可配置交换机,港湾的FlexHammer24.FlexHamm16i,创想公司的ThinkerEX3124

善于重启网络设备 解决网络的疑难故障

网络设备的工作状态直接关系着网络的运行状态,在长时间工作后,网络设备的工作状态很容易出错,事实上,在解决由网络设备工作状态引起的网络故障时,我们应该善于"重启"网络设备,以便让网络设备的工作状态快速恢复正常,从而在转瞬之间就能解决看上去非常奇怪的网络故障.本文就从实战角度出发,希望下面的内容能给各位带来收获! 故障回放 单位的一位员工说他使用的计算机不能访问Internet网络了,而且单位的局域网也不能访问了.原以为这只是个别现象,可谁曾想到,单位的其他同事陆陆续续打来电话,向笔者反映

防火墙测试方法

我们使用的测试仪器是思博伦通信公司的SmartBits 6000B.控制台使用一台配置为PIII 1GHz/128M内存/20G硬盘的惠普台式机. 在测试百兆防火墙性能时,使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口,将其分别与防火墙的内外网口直连,如图1所示.测试千兆防火墙性能与百兆防火墙基本一样,使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分

如何解救被劫持的路由器

  一.案例再现--路由器被劫持了! 1.故障描述 某公司的内网是在三层交换处划分的VLAN,最后通过路由器与远程连接,网内有近二百台主机.前段时间网络出现了这样一个故障:公司网络网速缓慢,且出现 延迟现象,登录服务器很久都没有响应,时常提示超时.当初判断是网络中有异常数据流,因为网络中的交换机和路由器灯长明.狂闪xp系统下载. 2.定位中毒客户端 最初以为公司网络部署不严密或者在网络中存在ARP欺骗,ARP风暴吞噬了网络带宽,影响了网络速度.鉴于接入网络机器太多,手动全部查找很麻烦,决定借 助

使用第二层路由跟踪进行排错

通过traceroute ip的方式来排除网络故障,相信很多人都非常的熟悉.这是基于IP地址(第三层)路由跟踪,可疑用来排除大部分的网络故障.而使用第二层路由跟踪,其跟第三层路由跟踪非常的相似.其一个本质的区别就在于第二层路由跟踪是基于MAC地址来进行跟踪的,并解决第二层连接的故障.在确定第二层拓扑中数据传输的路径,这个第二层路由跟踪将是一种非常有用的工具.一.traceroute ip的缺陷traceroute ip虽然在排错过程中具有很大的作用,基本上是每个网络管理员必须要掌握的内容. 但是