当前位置:文档之家 › 锐捷交换机交换机配置安全ACL

锐捷交换机交换机配置安全ACL

  • 格式:doc
  • 大小:57.50 KB
  • 文档页数:9

下载文档原格式

  / 14
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

锐捷交换机交换机配置安全ACL

1.配置ACLs 的步骤

l 通过申明一个ACL 的名字及为该ACL 创建ACEs(每条ACE 均由匹配条件和行为构成)来创建一条ACL。

l 将该ACL 应用于某一个交换机接口。

2.Standard (标准) 或Extended(扩展)IP ACLs

步骤1 configure terminal

进入全局配置模式。

步骤2 ip access-list standard { name}

用数字或名字来定义一条Standard

IP ACL 并进入access-list 配置

模式。

步骤3 deny {source source-wildcard|host source|any}

or

permit {source source-wildcard|host source|any}[time-range time-range-name] 在特权配置模式,您可以通过如下步骤来创建一条Standard IP ACL

在access-list 配置模式,申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。

host source 代表一台源主机,

其source-wildcard 为0.0.0.0。

any 代表任意主机,即source

为0.0.0.0,source-wild 为255.255.255.255。

time-range-name(可选)

指明关联的time-range 的名称

步骤4 end

退回到特权模式。

步骤5 show access-lists [name]

显示该接入控制列表,如果您不指定access-list 及name 参数,则显示所有接入控制列表。

步骤6 copy running-config startup-config

保存配置

例:创建一条IP Standard Access-list(标准访问列表)

该ACL 名字deny-host192.168.l2.x:包含两条ACE:

第一条ACE 拒绝来自192.168.12.0 网段的任一主机,

第二条ACE 允许其它任意主机。

同时将其应用到端口f 0/2上

Switch(config)# ip access-list standard deny-host192.168.l2.x

Switch(config-std-nacl)# deny 192.168.12.0 0.0.0.255 any

Switch(config-std-nacl)# permit any

Switch(config-std-nacl)# end

Switch# config t

Switch(config)# interface FastEthernet 0/2

Switch (config-if)# ip access-group deny-host192.168.l2.x in

Switch(config-if)#end

Switch # show access-list

例:创建一条IP Extended Access-list(扩展访问列表)

该ACL 名字allow_0xc0a800_to_172.168.12.3 包含一条ACE,

用于允许指定网络(192.168.x..x)的所有主机以HTTP 访问服务器172.168.12.3,但拒绝其它所有主机使用网络。

Switch(config)# ip access-list extended allow_0xc0a800_to_172.168.12.3

Switch(config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www

Switch(config-std-nacl)#end

Switch # show access-list

3.MAC Extended ACLs

配置MAC Extended ACL 的过程,与配置IP 扩展ACL 的配置过程是类似的。

在特权配置模式,您可以通过如下步骤来创建一条MAC Extended ACL:

步骤1 configure terminal

进入全局配置模式。

步骤2 mac access-list extended {name}

以名字定义一条mac extended acl,并进入

access-list 配置模式

步骤3 {deny | permit} {any | host source MAC address} {any | host destination MAC

address} [aarp |appletalk |decnet-iv

| diagnostic | etype-6000|etype-8042

| lat | lavc-sca | mop-console

|mop-dump | mumps |

netbios|vines-echo | xns-idp]

[time-range time-range-name]

在access-list配置模式,申明对任意源MAC地址或指定的源MAC地址、对任意目的MAC地址或指定的目的MAC地址的报文设置允许其通过或拒绝之的条件。(可选项)您可以输入如下以太网协议类型:

aarp | appletalk |decnet-iv |diagnostic |

etype-6000 | etype-8042 | lat | lavc-sca

|mop-console | mop-dump | mumps |

netbios|vines-echo | xns-idp

time-range-name(可选)

指明关联的time-range的名称

步骤4 end

退回到特权模式。

步骤5 show access-lists [name]

显示该接入控制列表,如果您不指定access-list 及name 参数,则显示所有接入控制列表。

相关主题