交换机的ACL配置
ACL命令——H3C交换机(基本ACL)
ACL命令——H3C交换机(基本ACL)展开全文ACL命令——H3C交换机(基本ACL)1、acl命令用于创建一条ACL,并进入相应的ACL视图。
undo acl命令用于删除指定的ACL,或者删除全部ACL。
ACL支持两种匹配顺序,如下所示:1、配置顺序:根据配置顺序匹配ACL规则。
2、自动排序:根据“深度优先”规则匹配ACL规则。
“深度优先”规则说明如下:1、基本ACL的深度优先以源IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时比较源IP地址掩码长度,若源IP地址掩码长度相等,则先配置的规则匹配位置靠前。
例如,源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。
2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度;若目的IP地址掩码长度也相等,则先配置的规则匹配位置靠前。
例如,源IP 地址掩码长度相等时,目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。
用户一旦指定一条ACL的匹配顺序后,就不能再更改,除非把该ACL规则全部删除,再重新指定其匹配顺序。
ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。
【举例】# 定义ACL 2000的规则,并定义规则匹配顺序为深度优先顺序。
<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息,描述该ACL的具体用途。
浅谈交换机ACL配置
浅谈交换机ACL配置1.ACL定义:ACL(Access Control List)指访问控制列表,通常用来规划网络中的访问层次.以期达到优化网络流量,加强网络安全的作用.ACL可以通过Web方式或者命令行方式配置,一般推荐使用命令行方式.因为每一张ACL都是由具体的一条条规则组成,命令行配置方式更有助于管理员在配置时理清思路.常用方法是先将命令用写字板输入好,检查无误后再导入交换机,绑定在具体的端口上.ACL可以绑定在物理端口上,也能绑定在虚拟接口上,如Vlan接口.ACL配置的命令格式:在全局配置模式下: access-list <ACL名称> permit/deny <协议类型> <源IP地址> <源地址掩码> <目的IP地址> <目的地址掩码>进入接口配置模式,绑定已配置的ACL:interface vlan 1ip access-group <ACL名称>或者:interface ethernet 1/g24ip access-group <ACL名称> in 12.配置ACL的注意事项:(1)每个ACL表的末尾都会隐含”deny”语句, 从而丢弃所有不符合规则的包;(2)源和目的的地址位掩码配置中,“0”代表精确匹配,”1”代表忽略该位.如允许来自192.168.1.0/24网段机器的访问,则其掩码是0.0.0.255;而针对具体主机的掩码,则是0.0.0.0;(3) 具有严格限制条件的语句应放在访问列表所有语句的最上面;(4)系统是按照顺序一条条去匹配ACL的规则,当发现匹配的规则后,它将忽略掉后面的语句;而如果发现ACL里所有语句均不匹配,那么默认将丢掉该数据包;(5).ACL所包含的规则在精不在多;配置具体规则时不光需要考虑该规则是否影响数据包传送,还必须考虑数据包能否返回.(6)ACL一旦绑定到具体端口上时,即可生效,所以以后每次对该ACL表做的任何更改,也就会立即生效;如果配置错误的规则就会对整个网络访问产生影响;(7)同一接口可以绑定多个ACL,此时需要给每个ACL设置相应的优先级;3.下面我们以实例加以说明:假定客户划分了Vlan 3和Vlan 5两个虚网,IP地址段分别是192.168.3.0/24和192.168.5.0/24,如下面针对Vlan3配置了名为”test”的ACL,使得其他网段的机器只能通过ICMP访问Vlan3.比如只能Ping通Vlan3的机器,但是无法正常访问.console(config)#access-list test permit icmp any 192.168.3.0 0.0.0.255console(config)#access-list test permit icmp 192.168.3.0 0.0.0.255 anyconsole(config)#interface vlan 3console(config-if-vlan3)#ip access-group test如果仅仅只能允许Vlan5的机器访问Vlan3:console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255(仅仅配置这一条规则,Vlan3和Vlan5是不能通信的)console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255(加上这一条规则,允许返回的数据包,这样才能实现Vlan3和Vlan5的通信)如果客户希望Vlan3与Vlan5能够相互通信,但是不希望双方的机器能够互ping,那么配置时必须注意语句的顺序:console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 console(config)#access-list test deny icmp 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#interface vlan 3console(config-if-vlan3)#ip access-group test以上的配置结果是:Vlan3与Vlan5能够相互通信,也能相互ping 通,说明第三条语句没有起作用.具有严格限制条件的语句应放在访问列表所有语句的最上面;调整为以下顺序后,目的就能达到了:console(config)#access-list test deny icmp 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 console(config)#interface vlan 3console(config-if-vlan3)#ip access-group test这是因为:系统是按照顺序一条条去匹配ACL的规则,当发现匹配的规则后,它将忽略掉后面的语句;而如果发现ACL里所有语句均不匹配,那么默认将丢掉该数据包.也就是说,每个ACL的末尾都会隐含一"deny all"的规则.这一点在配置时需要非常注意.。
H3C交换机典型ACL访问控制列表配置教程
H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于ACL,可能很多用户还不熟悉怎么设置,本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
三层交换机访问控制列表ACL的配置
ACL未来的发展趋势
01 02
动态ACL
随着云计算和虚拟化技术的发展,网络流量和安全威胁呈现出动态变化 的特点,动态ACL可以根据网络状态实时调整访问控制策略,提高网络 安全防护的实时性和准确性。
智能ACL
通过引入人工智能和机器学习技术,智能ACL可以根据历史数据和行为 模式自动识别和防御未知威胁,提高网络安全防护的智能化水平。
三层交换机访问控制列表 ACL的配置
目录
• ACL概述 • 三层交换机与ACL配置 • 配置实例 • ACL常见问题及解决方案 • 总结与展望
01
ACL概述
ACL的定义
访问控制列表(ACL)是一种用于实 现网络访问控制的安全机制,它可以 根据预先设定的条件对数据包进行过 滤,从而允许或拒绝数据包的传输。
ACL可以应用于三层交换机,实 现对网络流量的访问控制和过滤。
通过配置ACL,可以限制网络访 问权限,保护敏感资源不被非法
访问。
ACL可以与三层交换机的路由功 能结合使用,实现更加灵活和高效的网Biblioteka 控制。三层交换机ACL配置步骤
登录三层交换机,进入系 统视图。
将ACL应用到相应的接口 上,实现数据包的过滤和 控制。
03
融合ACL
随着网络安全威胁的不断演变,单一的ACL策略已经难以满足安全需求,
融合ACL可以将多种安全策略进行有机融合,形成多层次、全方位的安
全防护体系,提高网络的整体安全性。
感谢您的观看
THANKS
ACL性能问题
总结词
ACL的配置不当可能导致设备性能下降,影响网络的整体性能。
详细描述
ACL的配置涉及到对数据包的匹配和转发,如果配置不当,可能会导致设备处理数据包的速度变慢, 甚至出现丢包现象。为提高设备性能,应合理规划ACL规则,尽量减少不必要的匹配操作,并考虑使 用硬件加速技术来提高数据包的处理速度。
H3C交换机配置ACL禁止vlan间互访
H3C交换机配置ACL禁⽌vlan间互访1、先把基础⼯作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端⼝都正确。
假设10个VLAN的地址分别是192.168.10.X,192.168.20.X。
192.168.100.X,与VLAN号对应。
2、为第⼀个VLAN 10创建⼀个ACL,命令为ACL number 2000这个2000号,可以写的数是2000-2999,是基本的ACL定义。
然后在这个ACL下继续定义rule,例如rule 1 deny source 192.168.20.0rule 2 deny source 192.168.30.0rule 3 deny source 192.168.40.0rule 4 deny source 192.168.50.0rule 5 deny source 192.168.60.0rule 6 deny source 192.168.70.0rule 7 deny source 192.168.80.0rule 8 deny source 192.168.90.0然后进⼊VLAN接⼝interface vlan 10在vlan 10接⼝下,启⽤上⾯定义的规则:packet-filter outbound ip-group 2000这应该就可以了,其它VLAN也按这个⽅法定义。
这⼀句:packet-filter outbound ip-group 2000 设备有可能不⽀持,那你就得换种⽅法定义ACL,使⽤3000-3999之间的扩展ACL定义:rule 1 deny destination 192.168.20.0....然后在vlan接⼝下启⽤packet-filter inbound ip-group 3000。
H3C交换机典型ACL访问控制列表配置教程
H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于ACL,可能很多用户还不熟悉怎么设置,本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C-5120交换机ACL配置
H3C-5120交换机ACL配置1. 介绍ACL(Access Control List)是H3C-5120交换机中的一种允许或拒绝数据包通过的规则集。
它用于网络安全策略的实施,帮助管理员控制网络中各种流量的流向和处理。
本文档将引导您如何在H3C-5120交换机上配置ACL,以实现对网络流量的有效控制和保护。
2. 配置步骤以下是在H3C-5120交换机上配置ACL的步骤:步骤1:登录交换机使用SSH或Telnet等远程登录工具登录到H3C-5120交换机的管理控制台。
步骤2:进入ACL配置模式输入以下命令,进入ACL配置模式:[System-view][Sysname] acl number 2000[Sysname-acl-basic-2000]这将创建一个编号为2000的ACL,并进入ACL基本配置模式。
步骤3:配置ACL规则在ACL基本配置模式下,您可以配置允许或拒绝的规则。
例如,下面是一个简单的ACL配置示例,允许来自IP地址为192.168.1.0/24的流量通过:[Sysname-acl-basic-2000][Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 您可以根据需要配置更多规则,用于控制不同类型的流量。
步骤4:应用ACL在ACL配置完成后,您需要将ACL应用到适当的接口上。
例如,如果您想将ACL应用到GigabitEthernet1/0/1接口上,可以使用以下命令:[Sysname] interface GigabitEthernet 1/0/1[Sysname-GigabitEthernet1/0/1] packet-filter 2000 inbound这将在接口的入方向(inbound)应用ACL编号为2000的规则。
步骤5:保存配置输入以下命令保存配置:[Sysname] save3. 总结ACL是H3C-5120交换机上实现网络安全策略的重要工具。
路由交换机ACL原理及配置
匹配 第一条规则?
是
是
否
是 匹配 是 下一条? 否
是 匹配 是 最后一条?
否
*
拒绝
允许 允许
允许
目的接口
*说明:当ACL的最后一条不匹配 时,系统使用隐含的“丢弃全部” 进行处帧报头 (如HDLC)
数据包 (IP报头 )
段 (如TCP报头)
数据
源端口 目的端口
协议号 源IP地址 目的IP地址
配置标准ACL
ZXR10(config)# access-list access-list-number {permit|deny} source [mask]
• IP 标准ACL使用列表号 1 至 99 • 缺省通配符为 0.0.0.0 • “no access-list access-list-number” 删除整个ACL
(access-list 1 deny 0.0.0.0 255.255.255.255) 别忘了系统还有隐含的这条规则!
interface fei_1/2 ip access-group 1 out
拒绝特定子网对172.16.3.0网段的访问 26
过滤 telnet 对路由器的访问
ZXR10(config)#
范围从1 到 99
2021/8/6
范围从 100 到 199.
18
通配符的作用
128 64 32 16 8 4 2 1
00 0
0
0 0 0 0=
001
1
1 1 1 1=
0 00
0
1 1 1 1=
111
1
1 1 0 0=
111
1
1 1 1 1=
例子 匹配所有比特位
交换机扩展ACL基本配置
交换机扩展ACL基本配置一、复习标准ACL配置1、标准ACL配置过程(1)定义标准ACL:access-list 数字标号 {deny|permit} <源网络号> <反掩码>(3)应用到VLAN虚接口:ip access-group 数字标号 out2、按下列要求写出配置命令序列(1)拒绝网络3内的所有计算机访问网络1(2)拒绝主机PC1访问网络1二、授新课标准ACL(访问控制列表)只能从源端控制网络中计算机的所有网络行为,如果从数据包的目标端或数据包中所请求的服务类型来控制网络行为,需要使用到扩展访问列表。
配置扩展访问列表的过程如下:1、定义扩展ACL规则:access-list 数字标号 {deny | permit} 协议 <源网络号> <反掩码> [sPort <源端口>] host IP地址 [dPort <目标端口号>]2、绑定到端口或VLAN虚接口:ip access-group 数字标号 in注意:扩展ACL的应用要尽量靠近源端。
扩展ACL的数字标号必须在100-199之间。
例:按下列结构图组网,并完成相关要求的配置。
1、下表配置VLAN2、在PC2中运行Windows2003虚拟机,并配置FTP服务(只要求能够提供匿名下载即可)和WEB服务。
3、测试PC1和PC2之间的连通性,PC1能否正确访问PC2中的2个服务?4、拒绝PC1所在网络访问PC2所在的网络。
5、取消以上一题的ACL应用6、拒绝PC1所在网络访问PC2虚拟机中的FTP服务,并测试配置是否成功?7、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务,并测试配置是否成功?作业:按下列拓扑结构图写出相关配置命令1、下表配置VLAN2、拒绝PC1所在网络访问PC2所在的网络。
3、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务。
交换机配置ACL基本配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------交换机配置ACL基本配置交换机配置(三)ACL 基本配置 1,二层 ACL . 组网需求: 通过二层访问控制列表,实现在每天 8:00~18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。
该主机从 GigabitEthernet0/1 接入。
.配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。
# 将 traffic-of-link 的 ACL 激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2,三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。
路由器交换机配置教程任务5.3标准ACL
(1)标准ACL的号码范围是1-99。
(2){}是必选项, deny表示如果满足条件,数据包则被丢弃; permit表 示如果满足条件,数据包则被允许通过该接口。
(3)通配符掩码(反掩码)
0表示"检查相应的位“ 1表示“不检查相应位”。 子网掩码按位求反就可以得到相应的通配符掩码。
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255 //允许源网络 为192.168.10.0 的所有主机 Router(config)#access-list 1 permit host 192.168.20.2 //允许主机 192.168.20.2 Router(config)#access-list 1 deny any //拒绝所有IP,这是ACL的最后一条 默认隐含命令 Router(config)#interface f1/0 Router(config-if)#ip access-group 1 out //在接口f1/0的出方向应用ACL
三.关键字any和host的用法
(1)any:允许源地址为任意的IP地址的数据包通过。 access-list 1 permit any等价于下面的命令: access-list 1 permit 0.0.0.0 255.255.255.255 (2)host:仅允许单台主机的流量通过。 如下列命令: access-list 1 permit host 192.168.100.100
(4)通配符掩码示例
十进制子网掩码255.255.255.0转化成二进制则为: 11111111 11111111 11111111 00000000
交换机ACL原理及配置详解
交换机ACL原理及配置详解ACL原理:1.ACL是根据网络层和传输层的源IP地址、目标IP地址、源端口和目标端口来过滤和控制数据包的流动。
ACL通常运行在网络设备如路由器和交换机上。
2.数据包进入路由器或交换机时,会依次通过ACL规则进行匹配,如果匹配成功,则根据规则进行相应的操作,如允许或阻止数据包的流动。
3.ACL规则通常由管理员根据特定的网络需求来制定,这些规则可以基于用户、服务、时间、应用程序和网络地址等多个因素进行设置。
4.ACL可以分为两类:标准ACL和扩展ACL。
标准ACL基于源IP地址来匹配和过滤数据包,而扩展ACL可以基于源IP地址、目标IP地址,以及源和目标端口来匹配和过滤数据包。
5.ACL规则通常包括一个许可或拒绝的操作,如果数据包匹配了ACL规则,则可以允许数据包继续传输,或者阻止数据包通过。
6.ACL可以应用在接口的入向或出向方向上,以实现不同方向上的数据过滤。
ACL配置详解:1.登录到交换机的命令行界面,进入特权模式。
2.进入接口配置模式,选择你要配置ACL的接口。
3. 使用命令`access-list`建立ACL列表,并设置允许或拒绝的条件。
例如:```access-list 10 permit 192.168.0.0 0.0.0.255```这个命令将允许源IP地址在192.168.0.0/24范围内的数据包通过。
4. 将ACL应用于接口,以实现过滤。
使用命令`ip access-group`将ACL应用于接口的入向或出向方向上。
例如:```ip access-group 10 in```这个命令将ACL10应用于接口的入向方向。
5.对于扩展ACL,可以使用更复杂的规则进行配置。
例如:```access-list 101 permit tcp any host 192.168.0.1 eq 80```这个命令将允许任何TCP数据包从任意源IP地址流向目标IP地址为192.168.0.1的主机,并且端口号为80。
H3C交换机典型(ACL)访问控制列表配置实例
H3C交换机典型(ACL)访问控制列表配置实例一、组网需求:1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二、组网图:三、配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口<H3C>system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-r ange Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classif ier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C交换机典型(ACL)访问控制列表配置实例
精心整理H3C交换机典型(ACL)访问控制列表配置实例一、组网需求:2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二、组网图:三、配置步骤:H3C360056005100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口<H3C>system-view[H3C]vlan10[H3C-vlan10]portGigabitEthernet1/0/1[H3C-vlan10]vlan20[H3C-vlan20]portGigabitEthernet1/0/2[H3C-vlan20]vlan30[H3C-vlan30]portGigabitEthernet1/0/3[H3C-vlan30]vlan402[H3C-Vlan-interface40]quit3.定义时间段[H3C]time-rangehuawei8:00to18:00working-day 需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1]aclnumber2000[H3C-acl-basic-2000]rule1denysource0time-rangeHuawei3.在接口上应用2000号ACL[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000[H3C-GigabitEthernet1/0/1]quit需求2配置(高级ACL配置)1234需求312[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei 3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI36105510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C]aclnumber30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei4567[H3C]interfaceg1/1/2[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound8.补充说明:lacl只是用来区分数据流,permit与deny由filter确定;l如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;lQoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C S5600 交换机 访问控制列表(ACL)的配置
H3C S5600 交换机访问控制列表(ACL)的配置1、组网图: 1 .公司企业网通过 Switch 的千兆端口实现各部门之间的互连。
管理部门由 GigabitEthernet1/0/1 端口接入,技术支援部门由GigabitEthernet1/0/2 端口接入,研发部门由 GigabitEthernet1/0/3 端口接入。
2 .工资查询服务器子网地址 129.110.1.2 , MAC 为 00e0-fc01-0303 ,技术支援部门 IP 为 10.1.1.0/24 ,研发部门主机 MAC 为 00e0-fc011、组网图:1.公司企业网通过Switch的千兆端口实现各部门之间的互连。
管理部门由GigabitEthernet1/0/1端口接入,技术支援部门由GigabitEthernet1/0/2端口接入,研发部门由GigabitEthernet1/0/3端口接入。
2.工资查询服务器子网地址129.110.1.2,MAC为00e0-fc01-0303,技术支援部门IP为10.1.1.0/24,研发部门主机MAC为00e0-fc01-0101。
2、组网需求:1.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资查询服务器。
2.通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
3、配置步骤:1.定义时间段[Quidway] time-range huawei 8:00 to 18:00 working-day2.进入3000号的高级访问控制列表视图[Quidway] acl number 30003.定义访问规则[Quidway-acl-adv-3000] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei4.进入GigabitEthernet1/0/1接口[Quidway-acl-adv-3000] interface GigabitEthernet1/0/15.在接口上用3000号ACL[Quidway-GigabitEthernet1/0/1] packet-filter inbound ip-group 30006.进入2000号的基本访问控制列表视图[Quidway-GigabitEthernet1/0/1] acl number 20007.定义访问规则[Quidway-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range Huawei8.进入GigabitEthernet1/0/2接口[Quidway-acl-basic-2000] interface GigabitEthernet1/0/29.在接口上应用2000号ACL[Quidway-GigabitEthernet1/0/2] packet-filter inbound ip-group 200010.进入4000号的二层访问控制列表视图[Quidway-GigabitEthernet1/0/2] acl number 400011.定义访问规则[Quidway-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff dest 00e0-fc01-0303 ffff-ffff-ffff time-range Huawei12.进入GigabitEthernet1/0/3接口[Quidway-acl-ethernetframe-4000] interface GigabitEthernet1/0/313.在接口上应用4000号ACL[Quidway-GigabitEthernet1/0/3] packet-filter inbound link-group 40004、配置关键点:1.time-name 可以自由定义。
交换机ACL像配置
交换机镜像配置端口镜像将交换机或路由器上一个或多个端口(被镜像端口)的数据复制到一个指定的目的端口(监听端口)上,通过镜像可以在监听端口上获取这些被镜像端口的数据,以便进行网络流量分析、错误诊断等。
流镜像流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口,用于报文的分析和监视。
华为S5700配置ACL规则(基于流的镜像)[TSA-5700]acl number 3000INTEGER<2000-2999> Basic access-list(add to current using rules)INTEGER<3000-3999> Advanced access-list(add to current using rules)[TSA-3900-acl-adv-3000]rule 1 permit tcptcp-flag acksyn[TSA-3900-acl-adv-3000]rule 5 permit tcp destination-port eq80[TSA-5700-acl-adv-3000]quit配置观察口[TSA-5700]observe-port 1 interface GigabitEthernet 0/0/3配置源端口[TSA-5700]interfaceGigabitEthernet 0/0/5[TSA-5700-GigabitEthernet0/0/5]port-mirroring to observe-port 1 bothboth Both(inbound and outbound)inboundInboundoutboundOutbound// 镜像是both 则ACL 发布规则方向只有inbound// 镜像是inbound ACL 发布规则方向:inbound//镜像是outbound ACL 发布规则方向:outbound[TSA-5700-GigabitEthernet0/0/5]display port-mirroring[TSA-5700-GigabitEthernet0/0/5]traffic-mirror inbound acl 3000 rule 1 to observe -port 1traffic-mirror 发布镜像端口规则H3CS3600配置观察口[H3C]mirroring-group 1 monitor-port GigabitEthernet 0/3配置源端口[H3C]mirroring-group 1 mirroring-port GigabitEthernet 0/4 inbound配置ACL规则(基于流的镜像)#创建ACL,其中第1条匹配带有ack标志位的TCP连接报文,第2条匹配TCP连接syn报文[H3C]acl number 3000[H3C-acl-adv-3000]rule 0 permit tcpack 1[H3C-acl-adv-3000]rule1 permit tcpsyn 1[H3C-acl-adv-3000]quit#创建流分类,匹配相应的ACL[H3C]traffic classifier1[H3C-classifier-3000]if-match acl3000[H3C-classifier-3000]quit#创建流行为,permit 带有syn、ack标志位的TCP连接报文。
交换机ACL原理及配置详解
交换机ACL原理及配置详解交换机ACL(Access Control List)是一种用于控制网络中数据流动的安全机制,它可以通过规则定义来确定允许或禁止一些特定的数据传输。
在交换机上配置ACL能够实现对网络流量进行过滤和限制,从而提高网络的安全性和性能。
ACL原理:ACL原理是基于“五元组”的匹配规则,包括:源IP地址、目的IP 地址、源端口号、目的端口号、传输协议。
通过对网络数据包的这些信息进行匹配,交换机可以根据ACL规则来决定是否允许该数据包通过。
ACL配置详解:1.创建一个ACL列表:在交换机上创建一个ACL列表,用于存储ACL规则。
```Switch(config)#ip access-list extended ACL_NAME```其中ACL_NAME是ACL列表的名称,可以根据实际情况进行命名。
2.添加ACL规则:向ACL列表中添加ACL规则,规定允许或禁止数据传输的条件。
```Switch(config-ext-nacl)#permit/deny protocol source_ipsource_port destination_ip destination_port```其中,protocol是要匹配的传输协议(如TCP或UDP),source_ip是源IP地址,source_port是源端口号,destination_ip是目的IP地址,destination_port是目的端口号。
可以通过多次输入以上命令来添加多个ACL规则。
3.应用ACL规则:将ACL列表应用到交换机的接口上,以实现对该接口上的数据传输进行过滤。
```Switch(config)#interface interface_type interface_numberSwitch(config-if)#ip access-group ACL_NAME {in , out}```其中,interface_type是接口类型(如Ethernet或GigabitEthernet),interface_number是接口号,ACL_NAME是之前创建的ACL列表的名称,in表示进入该接口的数据流将被匹配ACL规则进行过滤,out表示从该接口发送的数据流将被匹配ACL规则进行过滤。
acl 用法
acl 用法
ACL(Access Control List)是一种用于控制网络流量的技术,它可以根据一定的规则对网络流量进行过滤,从而实现对网络访问的控制。
ACL通常用于路由器或交换机上,以保护网络安全和防止非法访问。
ACL的用法包括以下几个方面:
1.定义ACL规则:ACL规则由一系列条件组成,可以根据
源IP地址、目标IP地址、协议类型、端口号等来定义。
例如,可以定义一个ACL规则,只允许来自特定IP地址段的流量通过。
2.启用ACL:在路由器或交换机上启用ACL,以便按照定
义的规则对网络流量进行过滤。
启用ACL后,符合规则的网络
流量将被允许通过,不符合规则的流量将被拒绝。
3.配置接口:在路由器或交换机的接口上配置ACL,以指
定哪些流量需要通过ACL过滤。
配置接口时,需要指定ACL的
编号或名称。
4.测试和验证:在配置完成后,需要对ACL进行测试和验
证,以确保其正常工作并符合预期。
可以使用命令行界面或图
形化工具来进行测试和验证。
需要注意的是,使用ACL可能会对网络性能产生一定的影响,因为需要对网络流量进行过滤和检查。
因此,在使用ACL时需要权衡其安全性和性能之间的平衡。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置语句为:
Switch# acess-list port <port-id><groupid>
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态 允许;
Standard IP access list: //IP 访问列表;
交换机的ACL配置
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。
三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主机访问同样的资源。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,允许网络的E-mail被通过,而阻止FTP通信。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。ACL的访问规则主要用三种:
标准ACL的配置语句为:
Switch#access-list access-list-number(1~99)
例1:允许192.168.3.0网络上的主机进行访问:
Switch#a.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
扩展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) protocol[port-number]
例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换机作为网络通信出入口的重要控制点,发挥其应有的作用。而正确地配置ACL访问控制列表实质将部分起到防火墙的作用,特别对于来自内部网络的攻击防范上有着外部专用防火墙所无法实现的功能,可大大提升局域网的安全性能。
◆ 标准访问控制列表,可限制某些IP的访问流量。
◆ 扩展访问控制列表,可控制某方面应用的访问。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制。
例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //允许其它网络访问。
若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
新手入门
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。它主要有三个方面的功能:
◆ 限制网络流量、提高网络性能。例如:ACL可以根据数据包的协议,指定这种类型的数据包的优先级,同等情况下可与先被交换机处理。
例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
基于端口和VLAN的ACL访问控制
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:允许所有IP的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
利用标准ACL控制网络访问
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。
基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。
配置语句:
Switch#acess-list vlan <vlan-id> [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny
上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。
利用扩展ACL控制网络访问
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。