锐捷ACL应用技术白皮书 锐捷网络 网络解决方案第一品牌公司

锐捷ACL应用技术白皮书
摘要
ACL，是访问控制列表(Access Control Lists)的简称。

在实际的网络环境中，各种上层访问都是通过报文交互进行的，为了进行访问控制，就通过ACL设置一系列过滤规则来控制报文转发和过滤，从而达到目的，所以称之为访问控制列表。

本文阐析了ACL功能的工作机制。

并在此基础上，说明我司交换机在ACL功能上的特点，优越性及其应用。

关键词
ACL ACE
目录
摘要 (1)
关键词 (1)
1 缩略语 (2)
2 概述 (2)
2.1 ACL技术产生的背景 (2)
2.2 我司交换机产品对ACL功能的支持情况 (3)
3 技术介绍 (4)
3.1 ACL工作原理 (4)
3.1.1 ACL分类 (4)
3.1.2 安全ACL种类 (4)
3.1.3 Access Control Entry (4)
3.1.4 安全ACL过滤报文原理 (6)
3.1.5 基于接口和基于VLAN的ACL (8)
4 锐捷ACL技术特点 (11)
4.1 配置灵活方便 (11)
4.2 功能完备 (11)
4.3 过滤性能好 (11)
4.4 各款产品ACL功能限制 (12)
4.4.1 各类型ACL共有限制 (12)
4.4.2 各款产品支持情况差异性说明 (12)
4.4.3 机箱式设备的线卡类型汇总 (14)
4.5 各款产品ACL在各种应用情况下的限制和容量值 (15)
4.5.1 IP标准ACL的限制和容量值 (15)
4.5.2 IP扩展ACL的限制和容量值 (15)
4.5.3 MAC扩展ACL的限制和容量值 (16)
4.5.4 专家级ACL的限制和容量值 (17)
4.5.5 IPv6 ACL的限制和容量值 (17)
4.6 使用我司ACL功能注意事项 (18)
4.7 应用与案例分析 (19)
4.7.1 核心层交换机S86关键配置 (20)
4.7.2 汇聚层交换机S57关键配置 (22)
4.7.3 接入层交换机S26关键配置 (24)
5 结束语 (26)
1 缩略语
ACL：Access Control List，访问控制列表
ACE：Access Control Entry，ACL的组成元素
VACL：基于VLAN的ACL
Port ACL：基于二层接口的ACL
AP：Aggregate Port
L2 AP：二层AP接口
L3 AP：三层AP接口
SVI：Switch Vlan Interface，交换机虚拟VLAN接口
Routed Port：路由口
2 概述
2.1 ACL技术产生的背景
在实际网络环境中，各种上层访问，最常见的就是访问某个网站，归根结底是通过PC和服务器之间的报文交互进行的，而报文则是通过交换机，路由器等各种网络设备进行传输的。

随着网络的普及，网络安全问题日益突出，如各种针对交换机的恶意攻击、病毒肆虐等等，对正常的网络通讯造成很大影响。

以上种种原因迫使我们需要对网络中的数据流进行监控、控制，确保网络安全或将安全风险降低到最低程度。

在典型的公司企业网络环境中(如图1所示)：
图1企业网络环境
就存在以下需求：
1．一些内部服务器如财务服务器，会计服务器只允许财务部的人员访问，其他部门不允许访问，此时就要对来自其他部门的数据流进行过滤。

2．由于当今Internet病毒无处不在，因此，需要对来自Internet的数据包进行监控，过滤，对那些病毒经常使用的端口予以封堵，保证内部网络安全。

3．各个部门之间的数据流如财务部和生产部之间，也就是VLAN间的数据流，出于安全考虑，对数据流进行检查，过滤等等。

这些需求可以使用ACL就可对网络中的数据流进行有效的检查、监控。

2.2 我司交换机产品对ACL功能的支持情况
目前我司产品除S20系列外全部支持ACL功能，支持的ACL种类丰富，可满足不同层次需求。

我司ACL可以过滤多种类型报文，如IP，IPX，各种二层报文。

对网络中最常见的IP报文，可以过滤的内容
也很丰富，从最常见的IP地址，MAC地址，端口到相对不太常见的TOS信息，分片信息，三层协议类
型等都可进行匹配，过滤，可以满足各种用户需求。

3 技术介绍
3.1 ACL工作原理
我司具备的ACL功能强大，不但支持的ACL 类型多，而且可以匹配的字段也很丰富，而且都是由硬件实现，过滤效率高。

3.1.1 ACL分类
ACL根据使用方式的不同主要分为两大类型：安全ACL和QOS ACL。

本文主要介绍安全ACL。

安全ACL主要分为两大类型：基于接口的ACL和基于VLAN的ACL。

基于接口的ACL，顾名思义，ACL的运用对象是接口，这里的端口包含的种类很多，主要分为二层接口和三层接口。

运用于二层接口的ACL又被称为Port ACL或基于二层接口的ACL，运用于三层接口的ACL又称为基于三层接口的ACL。

二层接口主要包括Access口，Trunk口，L2 AP口。

三层接口主要包括Routed Port，SVI口，L3 AP口。

不同层次的交换机所支持的接口类型范围不同。

基于VLAN的ACL，ACL的运用对象是VLAN，又称为VACL。

简单的说就是如果一个VLAN运用上一个ACL，当有报文进入或者离开这个VLAN时，就要受到该ACL的过滤。

下文详细介绍原理。

3.1.2 安全ACL种类
ACL的主要功能就是过滤报文，那ACL是根据什么来区分哪些报文需要过滤，哪些不需要的呢？就是根据报文中的特定信息。

这些特定信息一般是报文中的IP，MAC，二层协议类型，三层协议类型，TOS，VID等等。

根据可以匹配的信息的不同，ACL有以下6种类型：IP 标准ACL，IP 扩展ACL，MAC 扩展ACL，EXPERT(专家级) ACL，用户自定义ACL(ACL80)，IPV6 ACL(过滤IPV6报文)。

类型的ACL能匹配的报文信息详见配置指南。

3.1.3 Access Control Entry
1．在RGOS 10.X体系中：
一个ACL是一系列表项(Rules)的集合，每个表项称为一个ACE(Access Control Entry)。

一个ACE
包括三个内容：序列号，动作和报文内容。

如下所示：
S8600#show access-lists
ip access-list extended wo
10 permit ip host 1.1.1.1 any
20 permit ip any host 2.2.2.2
该ACL中包含2个ACE，举其中一个ACE：10 permit ip host 1.1.1.1 any，说明如下：
“10”代表该ACE的序列号。

该序列号的作用是定义ACE的优先级，ACL中ACE是按照优先级进行匹配的，优先级高的ACE优先匹配，序列号越小，优先级越高。

我司ACL默认第一个ACE的序列号为10，且默认按照10的倍数递增，即序列号序列是10，20，30，40……….
“permit”代表动作(Action)，安全ACL中只存在两种动作：permit和deny，permit就是不过滤报文，deny就是过滤相应的报文。

“ip host 1.1.1.1 any”代表报文内容，表明该报文必须是IP报文，且源IP必须是1.1.1.1，目的IP 没有限制。

所以该ACE的意思就是源IP是1.1.1.1的IP报文允许转发。

2．在非RGOS 10.X体系中：
如S21系列交换机，S68系列交换机。

一个ACL同样还是由一系列ACE组成。

但一个ACE只包括两个内容：动作和报文内容。

如下所示：
S2126G#show access-lists
Extended IP access list: wo
permit ip host 1.1.1.1 any
permit ip any host 2.2.2.2
该ACL中同样包含2个ACE，但是很明显，ACE没有序列号，那么是怎么区分优先级的呢？在非RGOS 10.X体系下，ACE的优先级就是它们的配置顺序。

在配置ACL时，先配置的ACE的优先级就高于后配置的ACE。

而show信息显示出来的ACE顺序就是之前的配置顺序。

如以上ACL，ACE：permit ip host 1.1.1.1 any的优先级高于ACE：permit ip any host 2.2.2.2，说明ACE：permit ip host 1.1.1.1 any 是先配置，而ACE：permit ip any host 2.2.2.2是后配置。

所以按照该原则，最后配置的ACE优先级最低，最先配置的ACE优先级最高。

介于最先配置和最后配置之间的ACE的优先级低于它之前配置的ACE，高于它之后配置的ACE。

3.1.4 安全ACL过滤报文原理
无论是基于端口的ACL，还是基于VLAN的ACL。

无论是RGOS 10.X体系，还是非RGOS 10.X体系。

如果ACL被运用上，其工作原理相同。

ACL是由一系列ACE组成，每个ACE都有一个唯一的序列号，代表它的优先级（非RGOS 10.X体系ACE的优先级按照配置顺序，也就是show信息显示出来的顺序），当交换机收到一报文，进行解析后，就按照ACE的优先级逐一匹配，若报文内容和某个ACE中的内容匹配，则按照相应的动作处理，若不符合，则匹配下一条ACE，直到匹配到合适的ACE。

若报文符合某个ACE定义的内容，则报文不再匹配这条ACE之后的所有ACE。

请看以下ACL：
RGOS 10.X体系下：
S8600#show access-lists
ip access-list extended wowo
10 deny ip host 192.168.1.1 any
20 permit ip host 192.168.1.1 any
（非RGOS 10.X体系下，不允许ACE对同一种内容的报文定义的动作冲突，会有如下提示：
% Error: Conflicting ACEs in one ACL or Duplicated ACEs in police map）
这条ACL具有两个ACE，但这两个ACE对同一种报文的动作却是相反的。

同样是针对源IP是192.168.1.1的IP报文，一条是允许转发，另一条是过滤该类型报文。

这两条ACE唯一的区别就是它们的优先级。

当交换机收到源IP是192.168.1.1的IP报文时，ACL按照ACE的优先级进行匹配，此时先匹配序列号为10的ACE，发现该报文的内容可以匹配ACE的内容，源IP为192.168.1.1，此时查看动作，为deny，所以该报文被过滤，不再进行匹配，所以序列号为20的ACE没有对该报文进行匹配。

当交换机又收到源IP是1.1.1.1的IP报文时，ACL还是按照ACE的优先级进行匹配，先匹配序列号为10的ACE，发现报文内容和ACE中的不符合，按照原理，查看下一条ACE，发现内容还是不匹配，但此时ACL中已没有ACE了，怎么办？这里要注意，当应用一个ACL时，交换机会自动在ACL的末尾加上一条丢弃所有报文的ACE，而且该ACE优先级最低，是最后才匹配的，这样也提高了安全性，因此如图所示的ACL，最后还有这样一条ACE：deny ip any any，且优先级最低，因此此时交换机收到的源IP为1.1.1.1的报文，最后匹配这条ACE，内容可以匹配，因为该ACE针对所有的IP报文，此时查看动作是deny，所以该报文被丢弃。

由于ACE是按照优先级匹配的，所以此时添加一条序列号小于10的ACE，如下所示：
RGOS 10.X体系下：
S8600(config)#ip access-list extended wowo
S8600(config-ext-nacl)#1 permit ip any any
S8600(config-ext-nacl)#end
S8600#show access-lists
ip access-list extended wowo
1 permit ip any any
10 deny ip host 192.168.1.1 any
20 permit ip host 192.168.1.1 any
动态添加了一条序列号为1的ACE：permit ip any any，所以此时当交换机收到任意IP报文时，由于该ACE的优先级最高，最优先匹配，所以所有IP报文都允许转发，而不会去匹配后面两条ACE。

在非RGOS 10.X体系下不能进行ACE的插入配置，ACE只能按照配置顺序，后配置的ACE优先级低，如下所示：
非RGOS 10.X体系下：
S2126G#show access-lists
Extended IP access list: wowo
deny ip host 192.168.1.1 any
S2126G(config)#ip access-list extended wowo
S2126G(config-ext-nacl)#permit ip host 1.1.1.1 any
S2126G#show access-lists
Extended IP access list: wowo
deny ip host 192.168.1.1any
permit ip host 1.1.1.1 any
ACE之后都可以匹配一个时间戳，而后ACL会根据系统的时钟来确认该ACE是否能生效，如果该ACE的时间戳中规定的时间和系统时钟不符合，则该ACE就不生效，也就是不进行匹配，如果相符，则进行匹配，匹配时也是按照优先级关系进行，原理相同。

如下所示：
RGOS 10.X体系下：
S8600_V10.3#show clock
Clock: 2008-4-22 9:38:2
S8600_V10.3#show time-range
time-range entry: week_day (active)
periodic Weekdays 9:00 to 18:00
time-range entry: week_end (inactive)
periodic Sunday 9:00 to 18:00
S8600_V10.3#show access-lists
ip access-list extended wo
10 permit ip host 1.1.1.1 any time-range week_day (active)
20 deny ip any host 2.2.2.2 time-range week_end (inactive)
非RGOS 10.X体系下：
S2126G#show clock
System clock : 2008-04-22 09:46:19 Tuesday
S2126G#show time-range
time-range name: week_day
periodic Weekdays 9:00 to 18:00
time-range name: week_end
periodic Sunday 9:00 to 18:00
S2126G#show access-lists
Extended IP access list: wo
permit ip host 1.1.1.1 any time-range week_day <active>
deny ip any host 2.2.2.2 time-range week_end <inactive>
如上所示，ACE：permit ip host 1.1.1.1 any所对应的时间戳week_day和系统时间相符，则该ACE 生效，show信息显示状态为：active，而ACE：deny ip any host 2.2.2.2所对应时间戳week_end和系统时间不符合，则不生效，show信息显示状态为：inactive，运用时该ACE就不参与过滤报文。

3.1.5 基于接口和基于VLAN的ACL
安全ACL分为基于接口和基于VLAN两种应用。

基于接口的ACL应用，ACL的运用对象是接口，上文提高主要有六种接口类型。

当ACL运用到接口
时，有两种选择：in和out，即输入方向和输出方向，这里所谓的方向是针对接口而言。

如图所示：
图2 in方向和out方向概念
In和out说明了ACL起作用的位置。

In方向说明当报文从外界网络进入该接口时，要受到ACL的检查，过滤。

Out方向说明当报文从该接口转发，准备前往外界网络时，要受到ACL的检查，过滤。

基于VLAN的ACL应用，ACL的运用对象是VLAN，同样基于VLAN的ACL也有in和out方向，但和基于接口的ACL应用的in和out不同的是，这里所谓的in和out方向是针对VLAN而言的，不是针对接口而言的。

如图所示：
图3基于VLAN应用的原理图
若在VLAN 1上应用一个ACL，当报文从属于VLAN 1的接口进入交换机，相当于进入VLAN 1，就是in方向，此时要受到该VACL的过滤，检查。

当报文从属于VLAN 1的接口转发时，由于该端口属于VLAN 1，不算是离开VLAN 1，因此不受到VACL过滤。

当报文通过路由，从属于VLAN 1的接口路由到属于VLAN 2的接口时，此时相当于离开VLAN 1，就是out方向，要受到VACL的过滤。

当VLAN应用一个ACL，那么进入VLAN和离开VLAN的报文都受到VACL的限制，过滤。

这也和基于接口的ACL不同。

基于VLAN的ACL容易和应用在三层接口SVI口上的ACL混淆。

这两者的层次不同，基于VLAN的ACL，由于VLAN是二层概念，所以主要过滤VLAN所属二层接口收到的报文。

而SVI是一个三层逻辑接口，应用在SVI上的ACL是基于三层接口的ACL，主要过滤通过路由转发的报文。

若VLAN是一个Private VLAN，则无法运用VACL和基于SVI的ACL，若VLAN是Super VLAN，则和普通VLAN相同。

基于VLAN的ACL和基于接口的ACL在配置上存在较大差异，详细请看配置指南。

4 锐捷ACL技术特点
4.1 配置灵活方便
我司ACL功能具有简单方便的CLI命令。

这样，即使用户没有相关的专业知识，也能完成配置。

各种类型的ACL配置都和名称相关，方便记忆：
IP 标准ACL：S8600(config)#ip access-list standard 13
IP 扩展ACL：S8600(config)#ip access-list extended 102
MAC 扩展ACL：S8600(config)#mac access-list extended 702
专家级ACL：S8600(config)#expert access-list extended 2702
自定义ACL：S8600(config)#expert access-list advanced wow
IPV6 ACL：S8600(config)#ipv6 access-list wow
详细配置命令可参见配置指南。

4.2 功能完备
我司ACL类型多，可供匹配的报文信息丰富（见表1）。

支持的接口类型众多，不同层次的各种逻辑接口都可支持。

包括L2AP口，TRUNK口，Route Port，L3AP口，SVI口等。

而且也可以基于VLAN应用ACL，具备业界先进水平。

表1 ACL可匹配内容
4.3 过滤性能好
我司ACL功能全部由硬件实现自动检查，过滤，不占用CPU资源。

这使得我司的ACL过滤效率高，
不会造成延时。

当报文接收速率很高时，不对CPU造成影响，能保证很好的安全性。

4.4 各款产品ACL功能限制
本章节说明目前我司各款产品ACL功能的限制。

4.4.1 各类型ACL共有限制
各类型ACL共有限制如表2所示：
表2 各类型ACL共有限制
4.4.2 各款产品支持情况差异性说明
我司各款产品ACL支持情况差异性如表3所示：
3 4
3
4
表3 各款产品支持情况差异4.4.3 机箱式设备的线卡类型汇总
附我司机箱式设备的线卡类型汇总：
表4 机箱式设备线卡类型总表
4.5 各款产品ACL在各种应用情况下的限制和容量值
本章节对我司各款产品的ACL功能在各种应用情况下的限制和容量值进行说明：
以下是每款产品在不同的应用情况下（ACL类型、应用方向、接口类型）的容量值，以ace个数为单位，如1001就代表可以添加相应类型的ace个数为1001个。

需要注意的是这里的容量值包括交换机在ACL末尾加上的过滤所有报文的默认ace(S32,S3750除外)。

其中S86混插表示S86的普通线卡和-E线卡混合使用的情况，包括只存在普通线卡的情况。

S86 –E表示只存在-E线卡的情况。

4.5.1 IP标准ACL的限制和容量值
如表5所示：
表5 各产品IP标准ACL容量值
4.5.2 IP扩展ACL的限制和容量值
如表6所示：
设备Access
表6 各产品IP扩展ACL容量值4.5.3 MAC扩展ACL的限制和容量值
如表7所示：
表7 各产品MAC扩展ACL容量值
4.5.4 专家级ACL的限制和容量值
表8 各产品专家级ACL容量值4.5.5 IPv6 ACL的限制和容量值
表9 各产品IPv6 ACL容量值
L2 AP口运用ACL指标值情况：除了S76、S86以外，其他产品ACL运用在L2 AP口的情况同运用在access口相同。

无论AP口成员个数是多少(最多8个)。

S76、S86系列交换机由于存在不同类型的线卡，而且不同类型线卡的指标值不同，所以存在差异性：
1、当AP口不跨线卡时，即AP口的成员接口都在同一张线卡时，情况和运用在access口相同，无论成员个数是多少。

2、当AP口跨线卡时，即AP口的成员接口不都在一张线卡上，而是分布在不同类型线卡上，此时容量值就是以取小为原则，以运用在access口的容量为参照。

如S76的AP口的成员接口分布在智能卡和非智能卡上，而S76的access口的容量值在智能卡上小于在非智能卡上，所以按照取小原则，此时AP 的容量值就和智能卡的容量值相同。

L3 AP口的容量值和支持性同Routed Port相同。

而且当AP口的成员接口跨线卡时，也是取小原则。

不过此时是以Routed Port的容量值为参照。

4.6 使用我司ACL功能注意事项
我司ACL由于支持类型很多，建议在使用时遵循以下原则：
原则1：优先使用过滤内容少的ACL
之所以这样建议是因为专家级ACL和IPV6 ACL使用时，由于匹配的内容丰富，不过也因此减少了交换机的容量。

而自定义ACL所能容纳的容量更加有限。

而且除了VID字段以外，其余内容IP ACL和MAC ACL也可以匹配。

因此对一种报文内容，如TCP端口号，既然IP扩展ACL和专家级都可匹配，就优先选取IP扩展ACL，即可满足要求，也不影响交换机容量。

我司7种类型ACL，除了IPV6 ACL以外，其他6种ACL：IP标准，IP扩展，MAC扩展，专家级ACL，自定义ACL，VACL，每种ACL可过滤的内容不同，而且可过滤的报文内容是一种包含关系，且有不同的针对性，包含关系如下：
IP标准ACL，只过滤源IP字段。

IP扩展ACL，IP标准能过滤的内容，IP扩展都可以过滤。

MAC扩展ACL，顾名思义，主要针对MAC层的报文，如IPX报文等。

VACL能过滤的报文内容是IP标准，IP扩展，MAC扩展的总和。

专家级ACL，IP类型ACL，MAC扩展ACL和VACL能过滤的内容，专家级都可以过滤。

自定义类型ACL(ACL80)，以上四种类型ACL能过滤的内容，自定义类型ACL都可以过滤。

所以六种ACL按照可过滤的报文内容，关系如下：
自定义类型ACL > 专家级ACL > VACL > MAC扩展ACL
自定义类型ACL > 专家级ACL > VACL > IP扩展ACL > IP标准ACL
原则2：优先使用基于接口的ACL。

由于支持VACL的设备目前只有S5750A和S86系列，且RGOS10.3以上版本才支持。

目前VACL 实现的功能同ACL功能大同小异。

同样过滤报文优先采用基于接口的ACL。

如要匹配TCP报文的端口号，其中IP扩展ACL，专家级ACL，自定义ACL和VACL都可以满足要求。

此时优先选择基于接口的ACL。

此时基于接口的ACL也有三种选择，但IP扩展可过滤内容在这三者中是最少的，且只针对IP报文，所以选用IP扩展ACL比较合适。

因为过滤类型少的ACL比较有针对性：IP标准，IP扩展只针对IP报文，MAC扩展针对MAC层的报文。

自定义类型ACL相比较其他类型ACL而言，功能强大，对应的配置也复杂，在实际应用中要慎重使用，以免配置不当影响网络的正常运行。

我司ACL运用在out方向时，除86的-E线卡外(见表4)，只能过滤知名帧（见表1详细说明）。

综上所述，在使用我司ACL时，注意采用以上两个原则、注意ACE的优先级、注意产品限制，即可较好的满足需求，也可减少实际使用中遇到的问题。

4.7 应用与案例分析
以典型的教育行业解决方案为例。

在该方案中，S26系列作为接入层交换机连接各院系PC，各院系接入层交换机S26通过TRUNK口上连汇聚层交换机S57，S57上有不同VLAN分别隔离各个院系。

S86作为核心层交换机下连S57进行高速转发，并连接各种服务器，如FTP，HTTP服务器等，最后通过防火墙与Internet相连。

拓扑图如下：
图4教育行业应用拓扑
校园网ACL应用主要有以下需求：
1．S26所连接各院系PC，一个接口只允许一台合法PC接入，不允许其他设备接入。

2．各个院系间不能互相访问和共享文件，即不允许各VLAN间数据流通过。

3．Internt病毒无处不在，需要封堵各种病毒常用端口，以保障内网安全。

4．只允许校园内部PC对校园服务器进行访问，拒绝外部PC的访问。

5．各院系PC必须在不同的VLAN中，以减少广播，多播数据流对网络的影响。

针对以上需求，ACL应用如下：
4.7.1 核心层交换机S86关键配置
S8600#sh run
vlan 1
!
vlan 2
!
ip access-list extended Virus_Defence
10 deny tcp any any eq 69 //过滤任何目的端口为69的TCP报文20 deny tcp any eq 69 any //过滤任何源端口为69的TCP报文30 deny tcp any any eq 4444
40 deny tcp any eq 4444 any
50 deny tcp any any eq 135
60 deny tcp any eq 135 any
70 deny tcp any any eq 136
80 deny tcp any eq 136 any
90 deny tcp any any eq 137
100 deny tcp any eq 137 any
110 deny tcp any any eq 138
120 deny tcp any eq 138 any
130 deny tcp any any eq 139
140 deny tcp any eq 139 any
150 deny tcp any any eq 445
160 deny tcp any eq 445 any
170 deny tcp any any eq 593
180 deny tcp any eq 593 any
190 deny tcp any any eq 5554
200 deny tcp any eq 5554 any
210 deny tcp any any eq 9995
220 deny tcp any eq 9995 any
230 deny tcp any any eq 9996
240 deny tcp any eq 9996 any
250 deny udp any any eq 135
260 deny udp any eq 135 any
270 deny udp any any eq 136
280 deny udp any eq 136 any
290 deny udp any any eq netbios-ns
300 deny udp any eq netbios-ns any
310 deny udp any any eq netbios-dgm
320 deny udp any eq netbios-dgm any
330 deny udp any any eq netbios-ss
340 deny udp any eq netbios-ss any
350 deny udp any any eq 445
360 deny udp any eq 445 any
370 deny udp any any eq tftp
380 deny udp any eq tftp any
390 deny udp any any eq 593
400 deny udp any eq 593 any
410 deny udp any any eq 1433
420 deny udp any eq 1433 any
430 deny udp any any eq 1434
440 deny udp any eq 1434 any
450 permit tcp any any //除以上TCP报文外，其余TCP报文都可通过
460 permit udp any any //除以上UDP报文外，其余UDP报文都可通过
470 permit ip any any //除以上IP报文外，其余IP报文都可通过
!
ip access-list extended access_server //如图所示，只允许源IP为192.168.1.0 192.168.2.0网段PC访问SERVER：192.168.4.100
10 permit ip 192.168.2.0 0.0.0.255 host 192.168.4.100
20 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.100
30 deny ip any any
!
interface GigabitEthernet 2/1
no switchport
no ip proxy-arp
ip access-group Virus_Defence in //防止来自Internet的病毒，封堵病毒常用端口
ip address 192.168.5.1 255.255.255.0
!
interface GigabitEthernet 2/4
switchport mode trunk
ip access-group access_server in //(可选) 只允许192.168.1.0，192.168.2.0网段访问SERVER，其他不允许
!
interface GigabitEthernet 2/48
switchport access vlan 2
ip access-group access_server out //(可选)只有S86上只存在-E线卡情况下推荐配置，否则不推荐配置。

-E线卡见表格4
!
interface VLAN 2
no ip proxy-arp
ip access-group access_server in //只允许192.168.1.0，192.168.2.0网段访问SERVER，其他不允许
ip address 192.168.4.2 255.255.255.0
!
End
4.7.2 汇聚层交换机S57关键配置
S5750#sh run
vlan 1
!
vlan 2
!
vlan 3
!
vlan 4
!
ip access-list extended inter_vlan_access1 //不允许VLAN2和VLAN3的PC互访10 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
20 permit ip any any
!
ip access-list extended inter_vlan_access2 //不允许VLAN3和VLAN2的PC互访10 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
20 permit ip any any
!
interface GigabitEthernet 0/22
switchport mode trunk
ip access-group inter_vlan_access1 in //(可选)禁止VLAN间互访
!
interface GigabitEthernet 0/23
switchport mode trunk
ip access-group inter_vlan_access2 in //(可选)禁止VLAN间互访
!
interface GigabitEthernet 0/24
switchport mode trunk
!
interface VLAN 2
no ip proxy-arp
ip access-group inter_vlan_access1 in //禁止VLAN间互访，按照原则不使用VACL ip address 192.168.1.100 255.255.255.0
!
interface VLAN 3
no ip proxy-arp
ip access-group inter_vlan_access2 in //禁止VLAN间互访，按照原则不使用VACL ip address 192.168.2.100 255.255.255.0
!
interface VLAN 4
no ip proxy-arp
ip address 192.168.4.1 255.255.255.0
!
End
4.7.3 接入层交换机S26关键配置
S26_1#sh run
vlan 1
!
vlan 2
!
ip access-list standard 1 //一个接口只允许接入PC的IP地址为：192.168.1.2
10 permit host 192.168.1.2
20 deny any
!
ip access-list standard 2//一个接口只允许接入PC的IP地址为：192.168.1.3
10 permit host 192.168.1.3
20 deny any
!
mac access-list extended 700 //一个接口只允许接入PC的MAC地址为：0000.0000.0001
10 permit host 0000.0000.0001 any etype-any
20 deny any any etype-any
!
mac access-list extended 701 //一个接口只允许接入PC的MAC地址为：0000.0000.0002
10 permit host 0000.0000.0002 any etype-any
20 deny any any etype-any
!
hostname S26_1
interface FastEthernet 0/1
switchport access vlan 2
ip access-group 1 in //每个接口只允许一个IP地址
!
interface FastEthernet 0/2
switchport access vlan 2
ip access-group 2 in //每个接口只允许一个IP地址
!
interface FastEthernet 0/3
switchport access vlan 2
mac access-group 700 in //(可选)每个接口只允许一个MAC地址
!
interface FastEthernet 0/4
switchport access vlan 2
mac access-group 701 in //(可选)每个接口只允许一个MAC地址
!
interface FastEthernet 0/5
switchport access vlan 2
!
interface FastEthernet 0/6 switchport access vlan 2
!
interface FastEthernet 0/7 switchport access vlan 2
!
interface FastEthernet 0/8 switchport access vlan 2
!
interface FastEthernet 0/9 switchport access vlan 2
!
interface FastEthernet 0/10 switchport access vlan 2
!
interface FastEthernet 0/11 switchport access vlan 2
!
interface FastEthernet 0/12 switchport access vlan 2
!
interface FastEthernet 0/13 switchport access vlan 2
!
interface FastEthernet 0/14 switchport access vlan 2
!
interface FastEthernet 0/15 switchport access vlan 2
!
interface FastEthernet 0/16 switchport access vlan 2
!
interface FastEthernet 0/17 switchport access vlan 2
!
interface FastEthernet 0/18 switchport access vlan 2
!
interface FastEthernet 0/19 switchport access vlan 2
!
interface FastEthernet 0/20
switchport access vlan 2
!
interface FastEthernet 0/21
switchport access vlan 2
!
interface FastEthernet 0/22
switchport access vlan 2
!
interface FastEthernet 0/23
switchport access vlan 2
!
interface FastEthernet 0/24
switchport mode trunk
!
interface GigabitEthernet 0/25
!
interface GigabitEthernet 0/26
!
interface VLAN 1
ip address 192.168.1.1 255.255.255.0
no shutdown
!
end
5 结束语
本文在分析了ACL工作原理的基础上，介绍了锐捷交换机使用ACL的应用方法。

测试表明，我司交换机的ACL功能，可以有效的防止病毒、防止恶意攻击、控制VLAN间数据流、控制服务器的访问、控制用户接入等。

可以满足客户的需求。