锐捷交换机交换机配置安全ACL.pdf

《锐捷交换机交换机配置安全ACL.pdf》由会员分享，可在线阅读，更多相关《锐捷交换机交换机配置安全ACL.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-锐捷交换机交换机配置平安ACL1配置 ACLs 的步骤l通过申明一个 ACL 的名字及为该 ACL 创立 ACEs(每条 ACE 均由匹配条件和行为构成)来创立一条 ACL。l将该 ACL 应用于*一个交换机接口。2Standard (标准) 或 E*tended(扩展)IP ACLs步骤 1 configure terminal进入全局配置模式。步骤 2 ip access-list standard name用数字或名字来定义一条StandardIP ACL 并进入 access-list 配置模式。步骤 3 deny source source-wildcard|host source

2、|anyorpermit source source-wildcard|host source|anytime-range time-range-name在特权配置模式，您可以通过如下步骤来创立一条Standard IP ACL在 access-list 配置模式，申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。 host source 代表一台源主机，其 source-wildcard 为.0。 any 代表任意主机，即 source为.0，source-wild 为 255.255.255.255。 time-range-name(可选

3、)指明关联的 time-range 的名称步骤 4 end退回到特权模式。步骤 5 show access-lists name显示该接入控制列表，如果您不指定access-list 及 name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config保存配置例：创立一条 IP Standard Access-list标准访问列表该 ACL 名字 deny-host192.168.l2.*：包含两条 ACE：第一条 ACE 拒绝来自 192.168.12.0 网段的任一主机，第二条 ACE 允许其它任意主机。同时将其应用到端口 f 0/2

4、上Switch(config-std-nacl)* deny 192.168.12.0 .255 anySwitch(config-std-nacl)* permit anySwitch(config-std-nacl)* endSwitch* config tSwitch(config)* interface FastEthernet 0/2Switch (config-if)* ip access-group deny-host192.168.l2.* inSwitch(config-if)*endSwitch * show access-list例：创立一条 IP E*tended Ac

5、cess-list扩展访问列表.z.-该 ACL 名字 allow_0*c0a800_to_172.168.12.3 包含一条 ACE，用于允许指定网络(192.168.*.*)的所有主机以访问效劳器 172.168.12.3， 但拒绝其它所有主机使用网络。Switch(config)* ip access-list e*tended allow_0*c0aSwitch(config-std-nacl)* permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eqSwitch(config-std-nacl)*endSwitch * show

6、 access-list3MAC E*tended ACLs配置 MAC E*tended ACL 的过程，与配置 IP 扩展 ACL 的配置过程是类似的。在特权配置模式，您可以通过如下步骤来创立一条MAC E*tended ACL：步骤 1 configure terminal进入全局配置模式。步骤 2 mac access-list e*tended name以名字定义一条 mac e*tended acl，并进入access-list 配置模式步骤 3 deny | permit any | host source MAC address any | host destination M

7、ACaddress aarp |appletalk |deet-iv| diagnostic | etype-6000|etype-8042| lat | lavc-sca | mop-console|mop-dump | mumps |netbios|vines-echo | *ns-idptime-range time-range-name在 access-list 配置模式，申明对任意源MAC 地址或指定的源 MAC 地址、对任意目的 MAC地址或指定的目的 MAC 地址的报文设置允许其通过或拒绝之的条件。(可选项)您可以输入如下以太网协议类型：aarp | appletalk |dee

8、t-iv |diagnostic |etype-6000 | etype-8042 | lat | lavc-sca|mop-console | mop-dump | mumps |netbios|vines-echo | *ns-idp time-range-name(可选)指明关联的 time-range 的名称步骤 4 end退回到特权模式。步骤 5 show access-lists name显示该接入控制列表，如果您不指定access-list 及 name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config保存配置您可以用

9、no mac access-list e*tended name 全局配置命令来删除整条MAC 扩展 ACL。 您也可以单独删除指定 ACL 中的*一条或*几条 ACE。里 显示如何创立及显示一条MAC E*tended ACL，以名字 mace*t 来命名之。该 MAC 扩展ACL 拒绝所有符合指定源MAC 地址的 aarp 报文。Switch(config)* mac access-list e*tended mace*tSwitch(config-e*t-macl)* deny host 00d0.f800.0000 any aarpSwitch(config-e*t-macl)* pe

10、rmit any any.z.-Switch(config-e*t-macl)* endSwitch* config tSwitch(config)* interface GigabitEthernet 2/1Switch (config-if)* mac access-group mace*t inSwitch (config-if)* endSwitch * show access-lists mace*tE*tended MAC access list mace*tdeny host 00d0.f800.0000 any aarppermit any any4基于时间的 ACLs 应用你

11、可以使 ACLs 基于时间进展运行，比方是ACL例：以 ACLs 应用为例，说明如何在每周工作时间段制止的数据流：Switch(config)* time-range no-Switch(config-time-range)* periodic weekdays 8:00 to 18:00Switch(config)* endSwitch(config)* ip access-list e*tended limit_udpSwitch(config-e*t-nacl)* deny tcp any any eqtime-range no-Switch(config)* endSwitch(con

12、fig-e*t-nacl)* e*itSwitch(config)* interface fastethernet0/1Switch(config-if)* ip access-group limit_udp in下面为 time-range 的显例如:Switch*show time-rangetime-range name: no-periodic Weekdays 8:00 to 18:00time-range name: no-udpperiodic Tuesday 15:30 to 16:305E*pert E*tended ACLs专家级 ACL 为您提供了更强的组合过滤条件，使您

13、更有效地限制网络使用者：1 可以实现对 VLAN/网段的过滤，限制*些网络只能使用特定的应用， ，比方制止学生自习时间在教室里玩网络游戏，只要给教室分配一个网段，对这个网段应用 ACL，在这个时间段制止网络游戏报文的传输即可。2 可以对以 IP+MAC 绑定的用户进展网络资源使用限制。Switch(config)* e*pert access-list e*tended e*pertSwitch(config-e*t-macl)* deny tcp host 192.168.12.3 host 00d0.f800.0044 any anySwitch(config-e*t-macl)* per

14、mit any any any anySwitch(config-e*t-macl)* endSwitch * show access-lists e*pertE*tended e*pert access list e*pertdeny tcp host 192.168.12.3 host 00d0.f800.0044 any anypermit any any any any6验证命令例：显示名字为 ip_acl 的 Standard IP access-lists 的容：Switch * show ip access-lists ip_acl.z.-Standard ip access l

15、ist ip_acl例：显示名字为 ip_e*t_acl 的 E*tended IP access-lists 的容：Switch * show ip access-lists ip_e*t_aclE*tended ip access list ip_e*t_aclpermit tcp 192.168.0.0 255.255.0.0 host 192.168.1.1 eqpermit tcp 192.167.0.0 255.255.0.0 host 192.168.1.1 eq例：显示所有 IP access-lists 的容：Switch * show ip access-listsStan

16、dard ip access list ip_aclE*tended ip access list ip_e*t_aclpermit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eqpermit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eq例：显示所有 access lists 的容：Switch * show access-listsStandard ip access list ip_aclE*tended ip access list ip_e*t_aclpermit tcp 192.168.

17、0.0 0.0.255.255 host 192.168.1.1 eqpermit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eqE*tended MAC access list mace*tdeny host 00d0.f800.0000 any aarppermit any any例：显示在百兆接口 1 上的 mac e*tended access-list：Switch *show mac access-group interface FastEthernet 0/1Interface FastEthernet 0/1:Inbound ac

18、cess-list is mac_e*t以下例子显示所有接口配置的mac ACLs:Switch *show mac access-groupInterface FastEthernet 0/1:Inbound access-list is mac_e*tInterface FastEthernet 0/2:Inbound access-list is not setInterface FastEthernet 0/3:Inbound access-list is not setInterface GigabitEthernet 1/1:Inbound access-list is not setInterface GigabitEthernet 2/1:Inbound access-list is not set 该 文 章 转 自 大 赛 人 ( 技 能 大 赛 技 术 资 源文：.dasairen./Article/wlsb/ruijie/155.html.z.)-DasaiRen.原网