TL-SG5428应用ACL控制不同部门的网络权限

华为交换机ACL如何使⽤及原则华为交换机ACL如何使⽤及原则ACL(访问控制列表)的应⽤原则：标准ACL，尽量⽤在靠近⽬的点扩展ACL，尽量⽤在靠近源的地⽅（可以保护带宽和其他资源）⽅向：在应⽤时，⼀定要注意⽅向ACL分类基本ACL #范围为2000～2999 可使⽤IPv4报⽂的源IP地址、分⽚标记和时间段信息来定义规则⾼级ACL #范围为3000～3999 既可使⽤IPv4报⽂的源IP地址，也可使⽤⽬的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端⼝/⽬的端⼝、UDP源端⼝/⽬的端⼝号等来定义规则⼆层ACL #范围为4000～4999 可根据报⽂的以太⽹帧头信息来定义规则，如根据源MAC（Media Access Control）地址、⽬的MAC地址、以太帧协议类型等⾃定义ACL 范围为5000～5999 #可根据偏移位置和偏移量从报⽂中提取出⼀段内容进⾏匹配场景⼀：（机房交换机不允许⾮管理⽹络ssh登录）#创建基于命名的基本aclacl name ssh-kongzhi 2001rule 5 permit source 192.168.1.0 0.0.0.255rule 10 deny#在vty接⼝应⽤acl 2001user-interface vty 0 4acl 2001 inboundauthentication-mode aaaprotocol inbound all场景⼆：（如下图，主机⼀不能ping通http服务器，但是可以访问）#创建⾼级aclacl number 3001rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq wwwrule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0#在接⼝的上应⽤aclinterface GigabitEthernet0/0/2traffic-filter inbound acl 300场景三：（⾃反acl的应⽤，类是于防⽕墙）#⽬标(1)：在icmp协议上，实现外部⽹络中，只有smokeping主机能ping通内⽹，其余外部主机不能ping内⽹地址，并且要求内⽹可以ping外⽹#⽬标(2)：不让外部⽹络通过tcp协议连接内部，但是内部可以⽤tcp连接外部（实际意义不⼤，但是很形象，凡是设计tcp的应⽤协议都受控）#分析(1)：先允许smokeping的主机ping内⽹，ping包分（去包：echo，回包：echo-raly），在公⽹出⼝的⼊⽅向拒绝所有ping的去包类型echo，作⽤与所有主机#分析(2)：tcp协议，需要建⽴三次握⼿，只有第⼀次中不带ack标志，其余都带有ack，（这表⽰发起tcp连接的⼀⽅第⼀个包不带ack，根据这个在公⽹出⼝⼊⽅向进⾏设置）#创建aclacl name kongzhi 3001rule 5 permit icmp source 6.6.6.6 0rule 10 deny icmp icmp-type echorule 15 permit tcp tcp-flag ackrule 20 deny tcp#应⽤到公⽹出⼝上interface GigabitEthernet0/0/1ip address 4.4.4.4 255.255.255.0traffic-filter inbound acl name kongzhi场景四：（基于时间的acl应⽤）#⽬标：教师每天6点到23点，可以上⽹；学⽣周⼀到周五8点半到22点可以上⽹，周六周⽇两天任何时刻都上⽹分析：要实现基于时间的，就需要进⾏划分流量，然后阻断，所以，时间可以看成教师(jiaoshi)室每天早上0点到6点半不能，以及晚上23点到23点59不能上⽹学⽣(xuesheng)周⼀到周五的早上0点到8点半，以及晚上22点到23点59不能上⽹#第⼀：配置时间段（由于不⽀持"23:0 to 6:30"，所以写成下⾯这种形式）time-range jiaoshi-deny 00:00 to 6:30 dailytime-range jiaoshi-deny 23:00 to 23:59 dailytime-range xuesheng-deny 00:00 to 8:30 working-daytime-range xuesheng-deny 22:00 to 0:0 working-day#第⼆：创建配置⾼级aclacl number 3001rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-denyacl number 3002rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny#第三：配置流分类（对匹配ACL 3001和3002的报⽂进⾏分类）traffic classifier d_jiaoshiif-match acl 3001traffic classifier d_xueshengif-match acl 3002#第四：配置流⾏为（动作为拒绝报⽂通过）traffic behavior d_jiaoshidenytraffic behavior d_xueshengdeny#第五：配置流策略（将流分类d_jiaoshi与流⾏为d_jiaoshi关联，组成流策略，这⾥为了⽅便直接将后⾯应⽤到⼀个接⼝上，将上⾯两个对应关系进⾏了合计）traffic policy all_denyclassifier d_jiaoshi behavior d_jiaoshiclassifier d_xuesheng behavior d_xuesheng#第六：在接⼝上应⽤流策略interface gigabitethernet 0/0/2ip address 114.114.114.1 255.255.255.0traffic-policy all_deny outbound声明：原创作者为辣条①号，原⽂章链接：。

交换机应用——ACL控制不同部门的网络权限本文基于TP-Link TL-SG5428交换机系列背景公司不同部门拥有不同的网络权限，这就需要网络中的交换机通过设置ACL来实现了。

用户需求某公司有3个部门研发部、销售部、财务部，另外还有一个服务器机房，及外网线路。

该公司要求三个部门相互不能互访，销售部和财务部能够访问外网，研发部门不能访问外网，三个部门都能访问内网服务器。

拓扑结构配置指南步骤1：对网络进行合理规划，划分VLAN，及配置VLAN ip参考TL-SG5428应用——多网段网络规划配置指南步骤2：权限分析：研发部门能够访问服务器，但是不能访问销售、财务和外网需要3条ACL规则：1、研发部门允许访问自身2、研发部门允许访问服务器3、研发部门禁止访问其他销售部门能够访问服务器和外网，但是不能访问研发和财务部门需要2条ACL规则：1、销售部门禁止访问研发部门2、销售部门禁止访问财务部门财务部门能够访问服务器和外网，但是不能访问研发和销售需要2条规则：1、财务部门禁止访问研发部门2、财务部门禁止访问销售部门步骤3：根据权限分析进入交换机进行配置：进入管理界面—>访问控制—>ACL配置—>新建ACL新建3条标准IP访问控制列表ID分别为100、101、102 分别对应研发部门、销售部门、财务部门进入管理界面—>访问控制—>ACL配置—>标准IP ACL选择ACL 100规则 1 允许源IP172.16.0.0 掩码255.255.255.0 访问目的IP172.16.0.0 掩码255.255.255.0规则 2 允许源IP172.16.0.0 掩码255.255.255.0访问目地IP 172.16.3.0 掩码255.255.255.0，点击提交规则3 丢弃源IP 172.16.0.0 掩码255.255.255.0 目的IP匹配所有，点击提交选择ACL 101规则4 丢弃源IP 192.168.1.0 掩码255.255.255.0 访问目的IP 192.168.0.0 掩码255.255.255.0 ，点击提交规则5 丢弃源IP 192.168.1.0 掩码255.255.255.0 访问目的IP 192.168.2.0 掩码255.255.255.0，点击提交选择ACL 102规则6 丢弃源IP 192.168.2.0 掩码255.255.255.0 访问目的IP 192.168.0.0 掩码255.255.255.0 ，点击提交规则7 丢弃源IP 192.168.2.0 掩码255.255.255.0 访问目的IP 192.168.1.0 掩码255.255.255.0 ，点击提交进入管理界面—>访问控制—>policy配置—>新建policy新建RD、Sales、Financial三个policy，分别对于研发、销售、财务部门进入管理界面—>访问控制—> policy配置—>配置policy分别将RD绑定ACL100,Sales绑定ACL101,Financial绑定ACL102进入管理界面—>访问控制—>绑定配置—>VLAN 绑定将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4这样就可以实现对各个部门的权限控制了。

TL-SG5428应用——不同网段网络终端自动获取IP背景为了方便网络终端的接入（尤其是一些便携式网络终端），在局域网中需要通过搭建DHCP服务器使网络终端自动获取IP来连接网络。

用户需求某公司现有3个部门，销售部、研发部和财务部三个部门网络已经使用TL-SG5428划分完毕（划分方法见TL-SG5428应用——多网段网络规划配置指南），现在这三个部门需要自动获取IP，这样的需求可以通过下面两种方法实现。

网络环境1网络中没有专用的DHCP服务器，使用交换机本身的DHCP服务器。

拓扑结构配置过程步骤1：划分VLAN与配置VLAN IP，具体方法见：TL-SG5428应用——多网段网络规划配置指南步骤2：交换机管理页面—>路由功能—>DHCP服务器—>地址池设置设置3个地址池，名称分别研发部门、销售部门和财务部门研发部门网络号：172.16.0.0 掩码：255.255.255.0 租期：120 默认网关：172.16.0.1 DNS：8.8.8.8 销售部门网络号：172.16.1.0 掩码：255.255.255.0 租期：120 默认网关：172.16.1.1 DNS：8.8.8.8 财务部门网络号：172.16.2.0 掩码：255.255.255.0 租期：120 默认网关：172.16.2.1 DNS：8.8.8.8步骤3：启动DHCP服务器交换机管理页面—>路由功能—>DHCP服务器—>DHCP服务器，选择启用DHCP服务器，提交。

经过以上配置研发部门、销售部门和财务部门的网络终端就可以正常自动获取IP地址了。

网络环境2网络中有专用的DHCP服务器，希望通过交换机的DHCP中继获取IP地址拓扑结构配置过程本文以Windows Server 2008为例步骤1：划分VLAN与配置VLAN IP，具体方法见：TL-SG5428应用——多网段网络规划配置指南步骤2：配置Windows Server 2008的DHCP服务根据Windows Server 2008的设置向导设置好DHCP服务器，新建3个作用域，作用域中的地址池分别对应研发部门、销售部门以及财务部门步骤3：启用交换机的DHCP中继功能交换机管理页面—>路由功能—>DHCP 中继添加DHCP服务器IP地址，启用DHCP中继功能这样，同样可以实现各个部门的网络终端自动获取IP的目的。

网络层访问权限控制技术ACL详解技术从来那是一把双刃剑，网络应用与互脫网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性•员工利用互联网做与工作不相干事等负面彩响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面彩响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问趣。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IoS的多层交换机，所有的二层交换机也为可管理的基于IoS的交换机，在公司部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(YLAN1, 10. 1. 1.0/24).部服务器(VLAN2) . Internet 连接(VLAN3).财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6).出口路自器上Fa0∕0接公司部网，通过sθ∕ 0连接到InternetO毎个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互脫网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术一一访问控制列表(下文简称ACL) O那么，什么是ACL呢?ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的Mx是Ci S CO IoS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来巳经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而巳。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

交换机ACL功能在网络中的应用交换机ACL（Access Control List）是指通过对交换机进行配置，来过滤或限制网络流量的一种功能。

它可以根据IP地址、MAC地址、端口号等进行过滤，从而提高网络的安全性和性能。

在本文中，我们将探讨交换机ACL在网络中的应用。

1.网络安全交换机ACL可以用于实现网络的安全策略。

通过设置ACL规则，可以限制特定IP地址或者MAC地址访问特定的网络资源，从而防止未经授权的用户访问敏感数据。

比如，一个企业可以设置ACL规则，只允许特定的员工使用特定的MAC地址访问公司的服务器，防止公司机密资料被泄露。

另外，ACL还可以用于阻止网络中的恶意活动，如DDoS攻击、端口扫描等。

通过设置特定的ACL规则，可以限制其中一IP地址连续发送大量的数据包，避免网络被占用或瘫痪。

2.流量控制交换机ACL还可以用于流量控制，以提高网络的性能和带宽利用率。

通过设置ACL规则，可以限制特定的流量通过特定的端口，从而避免网络拥塞。

比如，对于一个视频会议场景，可以设置ACL规则，只允许相关视频流量通过特定的端口，保证视频会议的丢包率和延迟控制在合理范围内。

此外，ACL还可以用于限制网络用户的带宽使用，从而确保一些关键应用能够获得足够的带宽，避免因为一些用户或应用的高带宽使用导致其他用户或应用的网络连接质量下降。

3.服务质量（QoS）交换机ACL可以用于实现服务质量（Quality of Service，QoS）的管理。

通过设置ACL规则，可以对不同类型的数据流量进行分类和分级处理，从而保证关键应用的服务质量。

比如，一个企业可以设置ACL规则，将实时视频流量优先级设置为最高，确保视频会议的流畅进行；将VoIP 流量优先级次之，保障语音通话的清晰；将普通数据流量优先级最低，以保证其他应用的正常运行。

此外，ACL还可以用于流量的限速和限制，从而确保网络资源的公平分配和合理利用。

4.网络监控交换机ACL还可以用于网络的监控和分析。

简述ACL的作用及应用ACL全称为Access Control List（访问控制列表），是一种用于控制网络设备的访问权限的技术。

ACL常常用于路由器、防火墙和其他网络设备上，通过配置ACL可以对网络流量进行过滤和控制，从而实现对网络资源的保护和管理。

ACL的作用主要包括以下几个方面：1. 控制网络访问权限：ACL可以根据预先设置的规则对网络流量进行过滤，从而限制特定的用户或主机对网络资源的访问。

比如可以设置ACL规则禁止某些特定的IP地址访问内部网络，或者限制某些用户只能访问特定的网络服务。

2. 提高网络安全性：通过ACL可以控制网络中的数据流动，从而减少网络攻击和恶意行为带来的风险。

ACL可以在网络边界处对流量进行过滤，防止未经授权的用户或主机进入内部网络，同时也可以限制内部网络用户对外部网络资源的访问，避免泄露敏感信息。

3. 优化网络性能：ACL可以对网络流量进行控制和限制，从而避免网络拥堵和带宽浪费的问题。

通过ACL可以限制某些不必要的流量进入网络，或者优化网络流量的分发，从而提高网络的整体性能和稳定性。

4. 达成合规要求：部分行业（如金融、医疗等）需要严格遵守相关的合规要求，ACL可以帮助网络管理员实施相关的网络访问控制策略，保证网络安全和合规性。

在实际应用中，ACL主要用于网络设备的配置和管理，常见的应用场景包括：1. 防火墙配置：防火墙是网络安全的重要组成部分，ACL可以用于配置防火墙的访问控制策略，限制网络上的数据流动。

例如，可以通过ACL阻止恶意流量的进入，或者限制内部网络用户对外部网络资源的访问。

2. 路由器配置：路由器是网络中的重要设备，ACL可以用于配置路由器的访问控制策略，限制特定的IP地址或网络对路由器的访问权限。

这样可以提高网络的安全性和稳定性，避免未经授权的访问对网络造成影响。

3. 交换机配置：ACL也可以用于配置交换机的访问控制策略，限制网络中不同子网之间的访问权限。

TL-SG5428应用——多网段网络规划配置指南背景出于安全和管理方便的考虑，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使VLAN 技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由来完成转发，TL-SG5428可以通过在不同VLAN间设置静态路由功能实现该需求。

用户需求某公司现有3个部门，销售部50名员工，研发部20名员工，财务部20名员工，5台内网服务器，一条外网线路。

几个部门之间可以分别灵活第设置相应的网络权限。

网络规划根据用户需求，销售部员工较多，使用一台TL-SL2452WEB交换机做为接入交换机，研发部和财务部，各分别用一台TL-SL3428作为接入交换机，各个部分分网段进行管理，核心交换机使用带有静态路由功能的TL-SG5428，服务器和外网线路直接接在核心交换机上。

TL-SG5428端口划分：研发部门：1-3号端口（1号口接交换机TL-SL2452WEB，其他2个口冗余）销售部门：4-6号端口（4号口接交换机TL-SL3428,其他2接口冗余）财务部门：7-9号端口（7号口接交换机TL-SL3428，其他2个口冗余）服务器群：10-19号端口（10-14号口接服务器，其他5个接口冗余）外网线路：20-24号端口（20号口接外网，其他4个接口冗余）IP地址分配：研发部门：172.16.0.0/24销售部门：172.16.1.0/24财务部门：172.16.2.0/24服务器群：172.16.3.0/24路由器：192.168.1.0/24拓扑结构配置指南本文仅介绍通过TL-SG5428的配置实现上述需求步骤1：划分VLAN进入管理页面—>VLAN—>802.1Q VLAN根据上文规划划分VLAN：VLAN1为Default VLAN 不动它；VLAN2：1-3号端口（研发部门）VLAN3：4-6号端口（销售部门）VLAN4：7-9号端口（财务部门）VLAN5：10-19号端口（服务器群）VLAN6：20-23号端口（外网线路）注意：电脑接在24号口进行管理，暂时不对24号口划分VLAN，后面在单独对这个口进行划分，否则会造成电脑管理不了交换机。

华为路由器:通过ACL(访问控制列表)限制上网默认分类2009-06-10 07:52:48 阅读79 评论0 字号：大中小登录到路由器telnet 192.168.1.1输入用户名，密码acl number 3000 （如果不存在，创建访问列表；存在则添加一条限制）允许192.168.1.99上网：rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。

rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码如果要允许多个连续IP上网：rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网同样，可以限制某IP只能访问某一个网站：例如，允许192.168.1.98这台主机只能访问rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0某个网站的IP:可以打开命令提示符,ping (以百度为例)最后不要忘记：rule 12 deny any any 把不符合以上规则的数据都过滤掉，这样只有上面列出的ip才可以上网。

写的不够详细，敬请原谅。

在华为2880路由器上如何设置时间限制的acl列表?请各位指教首先建立时间段，例如//建立一个时间段，名为work，时间定义为每天08:00到17:00 timer-ange work 07:00 to 17:00 daily然后在acl语句后加上time-range work即可，例如rule 10 permit tcp destination-port eq pop3 time-range work1）定义上班时间段# 定义8:00至18:00的周期时间段。

24+4G千兆二层全网管交换机TL-SL5428用户手册Rev: 2.0.0声明Copyright © 2011 深圳市普联技术有限公司版权所有，保留所有权利未经深圳市普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全部内容。

不得以任何形式或任何方式（电子、机械、影印、录制或其它可能的方式）进行商品传播或用于任何商业、赢利目的。

为深圳市普联技术有限公司注册商标。

本文档提及的其它所有商标或注册商标，由各自的所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

可随时查阅我们的万维网页。

除非有特殊约定，本手册仅作为使用指导，本手册中的所有陈述、信息等均不构成任何形式的担保。

目录第1章用户手册简介 (1)1.1目标读者 (1)1.2本书约定 (1)1.3章节安排 (1)第2章产品介绍 (5)2.1产品简介 (5)2.2产品特性 (5)2.3产品外观 (7)2.3.1前面板 (7)2.3.2后面板 (9)第3章配置指南 (10)3.1登录Web页面 (10)3.2Web页面简介 (11)3.2.1页面总览 (11)3.2.2页面常见按键及操作 (12)第4章系统管理 (14)4.1系统配置 (14)4.1.1系统信息 (14)4.1.2设备描述 (16)4.1.3系统时间 (16)4.1.4管理IP (18)4.2用户管理 (19)4.2.1用户列表 (19)4.2.2用户配置 (19)4.3系统工具 (20)4.3.1配置导入 (21)4.3.2配置导出 (21)4.3.3软件升级 (22)4.3.4系统重启 (22)4.3.5软件复位 (23)4.4安全管理 (23)4.4.1安全配置 (23)4.4.2SSL配置 (25)4.4.3SSH配置 (26)第5章二层交换 (32)5.1端口管理 (32)5.1.1端口配置 (32)5.1.2端口监控 (33)5.1.3端口安全 (34)5.1.4端口隔离 (36)5.2汇聚管理 (36)5.2.1汇聚列表 (37)5.2.2手动配置 (38)5.2.3LACP配置 (39)5.3流量统计 (41)5.3.1流量概览 (41)5.3.2详细统计 (42)5.4地址表管理 (43)5.4.1地址表显示 (43)5.4.2静态地址表 (45)5.4.3动态地址表 (46)5.4.4过滤地址表 (47)第6章VLAN (49)6.1802.1Q VLAN (49)6.1.1VLAN配置 (51)6.1.2端口配置 (53)6.2MAC VLAN (54)6.2.1MAC VLAN (55)6.2.2端口使能 (56)6.3协议VLAN (56)6.3.1协议配置 (57)6.3.2协议模板 (58)6.3.3端口使能 (59)6.4GVRP (59)6.5VLAN VPN (62)6.5.1VPN配置 (64)6.5.2VLAN映射 (64)6.5.3端口使能 (65)6.6Private VLAN (66)6.6.1PVLAN配置 (69)6.6.2端口配置 (70)6.7802.1Q VLAN功能的组网应用 (71)6.8MAC VLAN功能的组网应用 (72)6.9协议 VLAN功能的组网应用 (74)6.10Private VLAN功能的组网应用 (75)第7章生成树 (77)7.1基本配置 (82)7.1.1基本配置 (83)7.1.2生成树信息 (84)7.2端口配置 (85)7.3MSTP实例 (87)7.3.1域配置 (87)7.3.2实例配置 (87)7.3.3实例端口 (89)7.4安全配置 (90)7.4.1端口保护 (90)7.4.2TC保护 (92)7.5STP功能的组网应用 (93)第8章组播管理 (97)8.1IGMP侦听 (99)8.1.1基本配置 (100)8.1.2端口参数 (101)8.1.3VLAN参数 (102)8.1.4组播VLAN (103)8.2IGMP侦听功能组网应用： (105)8.3组播地址表 (106)8.3.1地址表显示 (106)8.3.2静态地址表 (107)8.4组播过滤 (108)8.4.1过滤地址 (108)8.4.2端口过滤 (109)8.5报文统计 (110)第9章服务质量 (112)9.1QoS配置 (112)9.1.1基本配置 (115)9.1.2调度模式 (116)9.1.3802.1P (117)9.1.4DSCP (118)9.2流量管理 (120)9.2.1带宽控制 (120)9.2.2风暴抑制 (121)9.3语音VLAN (122)9.3.1全局配置 (124)9.3.2端口配置 (124)9.3.3OUI配置 (126)第10章访问控制 (128)10.1时间段配置 (128)10.1.1时间段列表 (128)10.1.2新建时间段 (129)10.1.3节假日定义 (130)10.2ACL配置 (130)10.2.1显示ACL (131)10.2.2新建ACL (131)10.2.3MAC ACL (132)10.2.4标准IP ACL (133)10.2.5扩展IP ACL (133)10.3Policy配置 (135)10.3.1显示Policy (135)10.3.2新建Policy (136)10.3.3配置Policy (136)10.4绑定配置 (137)10.4.1显示绑定 (138)10.4.2端口绑定 (138)10.4.3VLAN绑定 (139)10.5访问控制功能组网应用 (140)第11章网络安全 (143)11.1四元绑定 (143)11.1.1绑定列表 (143)11.1.2手动绑定 (144)11.1.3扫描绑定 (146)11.1.4DHCP侦听 (147)11.2ARP防护 (152)11.2.1防ARP欺骗 (156)11.2.2防ARP攻击 (157)11.2.3报文统计 (158)11.3IP源防护 (158)11.4DoS防护 (159)11.4.1DoS防护 (160)11.4.2攻击检测 (161)11.5802.1X认证 (162)11.5.1全局配置 (166)11.5.2端口配置 (167)11.5.3RADIUS配置 (168)第12章SNMP (170)12.1SNMP配置 (171)12.1.1全局配置 (172)12.1.2视图管理 (172)12.1.3组管理 (173)12.2通知管理 (178)12.3RMON (180)12.3.1历史采样 (181)12.3.2事件配置 (181)12.3.3警报管理 (182)第13章集群管理 (184)13.1拓扑发现 (185)13.1.1邻居信息 (185)13.1.2配置显示 (186)13.1.3全局配置 (187)13.2拓扑收集 (188)13.2.1设备列表 (188)13.2.2配置显示 (189)13.2.3全局配置 (191)13.3集群管理 (192)13.3.1配置显示 (192)13.3.2集群配置 (194)13.3.3成员管理 (197)13.3.4拓扑图 (198)13.4集群管理功能组网应用 (199)第14章系统维护 (201)14.1运行状态 (201)14.1.1CPU监控 (201)14.1.2内存监控 (202)14.2系统日志 (202)14.2.1日志列表 (203)14.2.2本地日志 (203)14.2.3远程日志 (204)14.2.4日志导出 (205)14.3系统诊断 (205)14.4网络诊断 (207)14.4.1Ping检测 (207)14.4.2Tracert检测 (208)第15章软件系统维护 (210)15.1硬件连接图 (210)15.2配置超级终端 (210)15.3bootrom菜单下加载软件 (212)附录A802.1X客户端软件使用说明 (215)1.安装说明 (215)2.卸载说明 (218)3.使用说明 (219)4.常见问题： (221)附录B术语表 (222)附录C技术参数规格 (227)TL-SL5428 24+4G千兆二层全网管交换机用户手册第1章 用户手册简介本手册旨在帮助您正确使用这款交换机。

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示，某公司通过Switch实现各部门之间的互连。

为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域，又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置：1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。