您的位置:360文档中心› CISCO交换机的ACL配置练习

CISCO交换机的ACL配置练习

合集下载

三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置

ACL未来的发展趋势
01 02
动态ACL
随着云计算和虚拟化技术的发展,网络流量和安全威胁呈现出动态变化 的特点,动态ACL可以根据网络状态实时调整访问控制策略,提高网络 安全防护的实时性和准确性。
智能ACL
通过引入人工智能和机器学习技术,智能ACL可以根据历史数据和行为 模式自动识别和防御未知威胁,提高网络安全防护的智能化水平。
三层交换机访问控制列表 ACL的配置
目录
• ACL概述 • 三层交换机与ACL配置 • 配置实例 • ACL常见问题及解决方案 • 总结与展望
01
ACL概述
ACL的定义
访问控制列表(ACL)是一种用于实 现网络访问控制的安全机制,它可以 根据预先设定的条件对数据包进行过 滤,从而允许或拒绝数据包的传输。
ACL可以应用于三层交换机,实 现对网络流量的访问控制和过滤。
通过配置ACL,可以限制网络访 问权限,保护敏感资源不被非法
访问。
ACL可以与三层交换机的路由功 能结合使用,实现更加灵活和高效的网Biblioteka 控制。三层交换机ACL配置步骤
登录三层交换机,进入系 统视图。
将ACL应用到相应的接口 上,实现数据包的过滤和 控制。
03
融合ACL
随着网络安全威胁的不断演变,单一的ACL策略已经难以满足安全需求,
融合ACL可以将多种安全策略进行有机融合,形成多层次、全方位的安
全防护体系,提高网络的整体安全性。
感谢您的观看
THANKS
ACL性能问题
总结词
ACL的配置不当可能导致设备性能下降,影响网络的整体性能。
详细描述
ACL的配置涉及到对数据包的匹配和转发,如果配置不当,可能会导致设备处理数据包的速度变慢, 甚至出现丢包现象。为提高设备性能,应合理规划ACL规则,尽量减少不必要的匹配操作,并考虑使 用硬件加速技术来提高数据包的处理速度。

在三层交换机上配置ACL

在三层交换机上配置ACL

3750配置:3750#conf t3750(config)#int f0/153750(config-if)#switchport mode trunk3750(config)#end3750#vlan database3750(vlan)#vtp server3750(vlan)#vtp domain sy3750(vlan)#vtp password cisco3750(vlan)#vlan 103750(vlan)#vlan 203750(vlan)#vlan 303750(vlan)#vlan 403750(vlan)#vlan 1003750(vlan)#exit3750(config)#ip routing3750(config)#int vlan 103750(config-if)#ip address 192.168.10.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 203750(config-if)#ip address 192.168.20.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 303750(config-if)#ip address 192.168.30.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 403750(config-if)#ip address 192.168.40.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 1003750(config-if)#ip address 192.168.100.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#end3750(config)#int f0/13750(config-if)#switchport access vlan 1003750(config-if)#end配置ACL3750#conf t3750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.2553750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.2553750(config)#access-list 100 permit ip any any3750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.2553750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.2553750(config)#access-list 101 permit ip any any3750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.2553750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.2553750(config)#access-list 102 permit ip any any3750(config)#ip access-list extended infilter //在入方向放置reflect//3750(config-ext-nacl)#permit ip any any reflect ccna 3750(config-ext-nacl)#exit3750(config)#ip access-list extended outfilter //在出方向放置evaluate//3750(config-ext-nacl)#evaluate ccna3750(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 any 3750(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 any 3750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 any 3750(config-ext-nacl)#permit ip any any3750(config-ext-nacl)#exit3750(config)#int vlan 40 //应用到管理接口// 3750(config-if)#ip access-group infilter in3750(config-if)#ip access-group outfilter out3750(config-if)#exit3750(config)#int vlan 103750(config-if)#ip access-group 100 in3750(config-if)#exit3750(config)#int vlan 203750(config-if)#ip access-group 101 in3750(config-if)#exit3750(config)#int vlan 303750(config-if)#ip access-group 102 in3750(config-if)#end2960配置:2960#conf t2960(config)#int f0/152960(config-if)#switchport mode trunk2960(config-if)#switchport trunk encapsulation dot1q2960(config-if)#end2960#vlan database2960(vlan)#vtp client2960(vlan)#vtp domain sy2960(vlan)#vtp password cisco2960(vlan)#exit2960#show vtp statusVTP Version : 2Configuration Revision : 2Maximum VLANs supported locally : 256Number of existing VLANs : 10VTP Operating Mode : ClientVTP Domain Name : syVTP Pruning Mode : EnabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x4D 0xA8 0xC9 0x00 0xDC 0x58 0x2F 0xDD Configuration last modified by 0.0.0.0 at 3-1-02 00:13:342960#show vlan-sw briefVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/0, Fa0/1, Fa0/2, Fa0/3Fa0/4, Fa0/5, Fa0/6, Fa0/7Fa0/8, Fa0/9, Fa0/10, Fa0/11Fa0/12, Fa0/13, Fa0/1410 VLAN0010 active20 VLAN0020 active30 VLAN0030 active40 VLAN0040 active100 VLAN0100 active1002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default active2960#conf t2960(config)#int f0/12960(config-if)#switchport access vlan 102960(config-if)#int f0/22960(config-if)#switchport access vlan 202960(config-if)#int f0/32960(config-if)#switchport access vlan 302960(config-if)#int f0/42960(config-if)#switchport access vlan 402960(config-if)#end客户机验证:PC1:PC1#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 104/268/336 ms PC2:PC2#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC2#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC2#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:Success rate is 0 percent (0/5)PC2#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 56/170/336 ms PC3:PC3#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:.U.U.Success rate is 0 percent (0/5)PC3#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC3#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC3#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 144/218/416 ms PC4:PC4#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 240/331/508 ms PC4#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 220/288/356 ms PC4#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 144/207/268 ms PC4#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 96/219/440 ms PC5:PC5#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 92/194/284 ms PC5#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 144/209/336 ms PC5#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 64/184/372 ms PC5#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 192/239/308 ms。

Cisco路由器配置ACL详解之扩展访问控制列表

Cisco路由器配置ACL详解之扩展访问控制列表

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表:上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的,是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢?或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务(例如WWW,FTP等)。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式:扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。

⼩提⽰:⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍:我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段,分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务,IP地址为172.16.4.13。

配置任务:禁⽌172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可配置任务:以访问172.16.4.13上的WWW服务,⽽其他服务不能访问。

路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

思科交换机配置命令

思科交换机配置命令

Access-enable 允许路由器在动态访问列表中创建临时访问列表入口 Access-group 把访问控制列表(ACL)应用到接口上Access-list 定义一个标准的IP ACLAccess-template 在连接的路由器上手动替换临时访问列表入口Appn 向APPN子系统发送命令Atmsig 执行ATM信令命令B 手动引导操作系统Bandwidth 设置接口的带宽Banner motd 指定日期信息标语Bfe 设置突发事件手册模式Boot system 指定路由器启动时加载的系统映像Calendar 设置硬件日历Cd 更改路径Cdp enable 允许接口运行CDP协议Clear 复位功能Clear counters 清除接口计数器Clear interface 重新启动接口上的件逻辑Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能Config-register 修改配置寄存器设置Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息Configure memory 从NVRAM加载配置信息Configure terminal 从终端进行手动配置Connect 打开一个终端连接Copy 复制配置或映像数据Copy flash tftp 备份系统映像文件到TFTP服务器Copy running-config startup-config 将RAM中的当前配置存储到NVRAMCopy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上Copy tftp flash 从TFTP服务器上下载新映像到FlashCopy tftp running-config 从TFTP服务器上下载配置文件Debug 使用调试功能Debug dialer 显示接口在拨什么号及诸如此类的信息Debug ip rip 显示RIP路由选择更新数据Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程Debug ppp 显示在实施PPP中发生的业务和交换信息Delete 删除文件Deny 为一个已命名的IP ACL设置条件Dialer idle-timeout 规定线路断开前的空闲时间的长度Dialer map 设置一个串行接口来呼叫一个或多个地点Dialer wait-for-carrier-time 规定花多长时间等待一个载体Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号Dir 显示给定设备上的文件Disable 关闭特许模式Disconnect 断开已建立的连接Enable 打开特许模式Enable password 确定一个密码以防止对路由器非授权的访问E nable password 设置本地口令控制不同特权级别的访问Enable secret 为enable password命令定义额外一层安全性 (强制安全,密码非明文显示)Encapsulation frame-relay 启动帧中继封装Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法 Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco 的密码是sapEnd 退出配置模式Erase 删除闪存或配置缓存Erase startup-config 删除NVRAM中的内容Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXECExit 终止任何配置模式或关闭一个活动的对话和结束EXECformat 格式化设备Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)Help 获得交互式帮助系统History 查看历史记录Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用Interface 设置接口类型并且输入接口配置模式Interface 配置接口类型和进入接口配置模式Interface serial 选择接口并且输入接口配置模式Ip access-group 控制对一个接口的访问Ip address 设定接口的网络逻辑地址Ip address 设置一个接口地址和子网掩码并开始IP处理Ip default-network 建立一条缺省路由Ip domain-lookup 允许路由器缺省使用DNSIp host 定义静态主机名到IP地址映射Ip name-server 指定至多6个进行名字-地址解析的服务器地址Ip route 建立一条静态路由Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程Ipx delay 设置点计数Ipx ipxwan 在串口上启动IPXWAN协议Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)Ipx router 规定使用的路由选择协议Ipx routing 启动IPX路由选择Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受 Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型 Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制 Lat 打开LAT连接Line 确定一个特定的线路和开始线路配置Line concole 设置控制台端口线路Line vty 为远程控制台访问规定了一个虚拟终端Lock 锁住终端控制台Login 在终端会话登录过程中启动了密码检查Login 以某用户身份登录,登录时允许口令验证Logout 退出EXEC模式Mbranch 向下跟踪组播地址路由至终端Media-type 定义介质类型Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间Mrbranch 向上解析组播地址路由至枝端Mrinfo 从组播路由器上获取邻居和版本信息Mstat 对组播地址多次路由跟踪后显示统计数字Mtrace 由源向目标跟踪解析组播地址路径Name-connection 命名已存在的网络连接Ncia 开启/关闭NCIA服务器Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRPNetwork 指定一个和路由器直接相连的网络地址段Network-number 对一个直接连接的网络进行规定No shutdown 打开一个关闭的接口Pad 开启一个X.29 PAD连接Permit 为一个已命名的IP ACL设置条件Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断Ping 发送回声请求,诊断基本的网络连通性Ppp 开始IETF点到点协议Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制 Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP 对同等层请求数据包验证过程中使用sent-username和password。

ACL实验手册

ACL实验手册

问题 11:配置后在 R2 中查看访问控制列表 dynamic_xcu,有几条选项?
问题 11:配置后直接在 R1 中输入 telnet 130.130.2.3 /source-interface lo2 能否登陆成功?
问题 12:在 R1 中用 telnet 192.168.1.2 /source-interface lo2 登陆 R2,马上在 R2 中查看访问
R2(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any reflect ref_xcu1 注:定义反射 acl,用
自己的姓名替换 xcu
R2(config-ext-nacl)#permit eigrp any any
注:这条命令允许 eigrp 的数据正常传输
R2(config)#ip access-list extended ref_xcu2 R2(config-ext-nacl)#evaluate ref_xcu1 R2(config-ext-nacl)#permit eigrp any any
注:调用定义的反射 acl,用自己的姓名替换 xcu 注:调用定义的反射 acl,用自己的姓名替换 xcu
R2(config)#access-list 100 permit ip any any
R2(config)#int f0/1
注:在这里选择接口 f0/1 更接近源
R2(config-if)#ip access-group 100 in
注:acl 编号修改为自己学号后两位+100
问题 3:在 R1 上 telnet 130.130.2.3,以 172.16.2.1 作为源地址,能否登陆?如果以 172.16.3.1

三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置
<sPort>,源端口号,0-65535;
<dPort>,目的端口号,0-65535。
企业网综合实战
指定多条permit 或deny 规则
命令(过滤UDP数据包) : deny | permit udp <sIpAddr> <sMask> | any-source | host-source <sIpAddr> [sPort <sPort>] <dIpAddr> <dMask>| any-destination |host-destination <dIpAddr> [dPort <dPort>] [precedence <prec>] [tos <tos>][time -range <time-range-name>]
举例:创建一个名为test的扩展IP访问列表 ip access-list extended test
企业网综合实战
指定多条permit 或deny 规则
命令(过滤ICMP数据包) : deny | permit icmp <sIpAddr> <sMask> | any-source | host-source <sIpAddr> <dIpAddr> <dMask>} | anydestination | host-destination <dIpAddr> [<icmp-type> [<icmp-code>]] [precedence <prec>] [tos <tos>] [time – range <time-range-name>] 说明

基本ACL配置

实验时间月日编号:实验题目基本ACL配置实验场所实训(实习)内容:1.r1上配访问控制列表控制只有pc1能远程登录路由器r1;2.在r2上配置基本的访问控制列表控制pc1不能访问服务器,其他主机都可以访问;实验所用设备:计算机、路由器、二层交换机、网线实验(训)过程或步骤:1、网络拓扑设计2.pc机配置3.交换机配置Switch>enableSwitch#configSwitch(config)#ho swsw(config)#vlan 10sw(config-vlan)#exisw(config)#vlan 20sw(config-vlan)#exisw(config)#interface fastEthernet 0/5 sw(config-if)#switchport access vlan 10 sw(config-if)#exisw(config)#interface fastEthernet 0/15 sw(config-if)#switchport access vlan 20 sw(config-if)#exisw(config)#interface fastEthernet 0/20 sw(config-if)#switchport mode trunk sw(config-if)#exi4.路由器配置Router>enableRouter#configRouter(config)#ho r1r1(config)#interface fastEthernet 0/1r1(config-if)#no shutdownr1(config-if)#exir1(config)#interface fastEthernet 0/1.10r1(config-subif)#encapsulation dot1Q 10r1(config-subif)#ip address 192.168.10.1 255.255.255.0 r1(config-subif)#exir1(config)#interface fastEthernet 0/1.20r1(config-subif)#ip address 192.168.20.1 255.255.255.0 r1(config-subif)#exir1(config)#interface fastEthernet 0/0r1(config-if)#ip address 192.168.30.1 255.255.255.0r1(config-if)#exir1(config)#router ospf 100r1(config-router)#network 192.168.10.0 0.0.0.255 area 0 r1(config-router)#network 192.168.20.0 0.0.0.255 area 0 r1(config-router)#network 192.168.30.0 0.0.0.255 area 0 r1(config-router)#exir1(config)#interface fastEthernet 0/0r1(config-if)#no shutdownr1(config-if)#exir1(config)#r1(config)#enable password 326r1(config)#line vty 0 15r1(config-line)#password 508r1(config-line)#loginr1(config-line)#exir1(config)#access-list 2 permit host 192.168.10.10r1(config)#line vty 0 15r1(config-line)#access-class 2 inr1(config-line)#exir1(config)#Router>enRouter#configRouter(config)#ho r2r2(config)#interface fastEthernet 0/1r2(config-if)#no shutdownr2(config-if)#ip address 192.168.30.2 255.255.255.0r2(config-if)#exir2(config)#interface fastEthernet 0/0r2(config-if)#ip address 192.168.30.2 255.255.255.0r2(config-if)#no shutdownr2(config-if)#exir2(config)#interface fastEthernet 0/1r2(config-if)#ip address 192.168.40.2 255.255.255.0 r2(config-if)#no shutdownr2(config-if)#exir2(config)#access-list 1 deny 192.168.10.0 0.0.0.255 r2(config)#access-list 1 permit anyr2(config)#interface fastEthernet 0/1r2(config-if)#ip access-group 1 outr2(config-if)#exir2(config)#5.测试验证实验(训)总结:基本ACL与扩展ACL的区别?1、标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。

交换机配置ACL基本配置

---------------------------------------------------------------最新资料推荐------------------------------------------------------交换机配置ACL基本配置交换机配置(三)ACL 基本配置 1,二层 ACL . 组网需求: 通过二层访问控制列表,实现在每天 8:00~18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。

该主机从 GigabitEthernet0/1 接入。

.配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。

# 将 traffic-of-link 的 ACL 激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2,三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。

交换机ACL原理及配置详解

交换机ACL原理及配置详解ACL原理:1.ACL是根据网络层和传输层的源IP地址、目标IP地址、源端口和目标端口来过滤和控制数据包的流动。

ACL通常运行在网络设备如路由器和交换机上。

2.数据包进入路由器或交换机时,会依次通过ACL规则进行匹配,如果匹配成功,则根据规则进行相应的操作,如允许或阻止数据包的流动。

3.ACL规则通常由管理员根据特定的网络需求来制定,这些规则可以基于用户、服务、时间、应用程序和网络地址等多个因素进行设置。

4.ACL可以分为两类:标准ACL和扩展ACL。

标准ACL基于源IP地址来匹配和过滤数据包,而扩展ACL可以基于源IP地址、目标IP地址,以及源和目标端口来匹配和过滤数据包。

5.ACL规则通常包括一个许可或拒绝的操作,如果数据包匹配了ACL规则,则可以允许数据包继续传输,或者阻止数据包通过。

6.ACL可以应用在接口的入向或出向方向上,以实现不同方向上的数据过滤。

ACL配置详解:1.登录到交换机的命令行界面,进入特权模式。

2.进入接口配置模式,选择你要配置ACL的接口。

3. 使用命令`access-list`建立ACL列表,并设置允许或拒绝的条件。

例如:```access-list 10 permit 192.168.0.0 0.0.0.255```这个命令将允许源IP地址在192.168.0.0/24范围内的数据包通过。

4. 将ACL应用于接口,以实现过滤。

使用命令`ip access-group`将ACL应用于接口的入向或出向方向上。

例如:```ip access-group 10 in```这个命令将ACL10应用于接口的入向方向。

5.对于扩展ACL,可以使用更复杂的规则进行配置。

例如:```access-list 101 permit tcp any host 192.168.0.1 eq 80```这个命令将允许任何TCP数据包从任意源IP地址流向目标IP地址为192.168.0.1的主机,并且端口号为80。

ACL配置

试验目的:一,允许PC0可以TELNET Router0 但是不能PING 通Router0。

二,允许PC1可以PING 通Router0 但不能TELNET Router0。

三,PC2即可以PING通Router0也能TELNET Router0。

配置:PC0的IP地址:192.168.1.1PC1的IP地址:192.168.1.2PC2的IP地址:192.168.1.3Router(config)#enable secret ccna 设定特权模式密码密文Router(config)#access-list 100 deny icmp host 192.168.1.1 host 192.168.1.254 创建扩展访问控制列表,不允许主机0访问路由器Router(config)#access-list 100 permit ip any host 192.168.1.254 扩展访问控制列表,允许所有的主机的IP流量访问路由器Router(config)#int f0/0Router(config-if)#ip access-group 100 in 在接口的进方向调用扩展访问列表Router(config)#access-list 1 deny 192.168.1.2 创建标准访问,不允许主机1 Router(config)#access-list 1 permit any any 允许全部主机Router(config)#line vty 0 4 进入V T Y配置模式Router(config-line)#password aaa 设定V T Y模式密码明文Router(config-line)#login telnet的时候要登录Router(config-line)#access-class 1 in 在VTY上调用标准访问控制列表进口方向还有一种是命名访问控制列表:Router(config)#ip access-list extended(扩展)/ standard(标准)ccna下面的配置类似于上面的就不配置了。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

CISCO交换机的ACL配置练习
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多
安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功
能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访
问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现
ACL功能的过程。

利用标准ACL控制网络访问
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流
量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目
标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地
址的所有通信流量通过交换机的出口。

标准ACL的配置语句为:
Switch#access-list access-list-number(1~99)
{permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-ma
sk]}

例1:允许192.168.3.0网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:允许所有IP的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不
检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。

利用扩展ACL控制网络访问
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定
协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许
使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测
试条件。

扩展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permit|deny}
protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-numbe
r]

例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
基于端口和VLAN的ACL访问控制
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机
的某一端口进行控制,则可把这个端口加入到上述规则中。

配置语句为:
Switch# acess-list port
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中

基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许
(permit)或拒绝(deny)交换机转发一个VLAN的数据包。

配置语句:
Switch#acess-list vlan [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny

另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态 允许;
Standard IP access list: //IP 访问列表;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //允许其它网络访问

若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换
机作为网络通信出入口的重要控制点,发挥其应有的作用。而正确地配置ACL访问控制列表
实质将部分起到防火墙的作用,特别对于来自内部网络的攻击防范上有着外部专用防火墙所
无法实现的功能,可大大提升局域网的安全性能。

新手入门
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,
哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。
它主要有三个方面的功能:

◆ 限制网络流量、提高网络性能。例如:ACL可以根据数据包的协议,指定这种类型的数
据包的优先级,同等情况下可与先被交换机处理。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主
机访问同样的资源。

◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,
允许网络的E-mail被通过,而阻止FTP通信。

建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这
也是对网络访问的基本安全手段。ACL的访问规则主要用三种:

◆ 标准访问控制列表,可限制某些IP的访问流量。
◆ 扩展访问控制列表,可控制某方面应用的访问。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制

相关文档
最新文档