锐捷交换机交换机配置安全ACL
- 格式:doc
- 大小:57.50 KB
- 文档页数:9
锐捷交换机交换机配置安全ACL
1.配置ACLs 的步骤
l 通过申明一个ACL 的名字及为该ACL 创建ACEs(每条ACE 均由匹配条件和行为构成)来创建一条ACL。
l 将该ACL 应用于某一个交换机接口。
2.Standard (标准) 或Extended(扩展)IP ACLs
步骤1 configure terminal
进入全局配置模式。
步骤2 ip access-list standard { name}
用数字或名字来定义一条Standard
IP ACL 并进入access-list 配置
模式。
步骤3 deny {source source-wildcard|host source|any}
or
permit {source source-wildcard|host source|any}[time-range time-range-name] 在特权配置模式,您可以通过如下步骤来创建一条Standard IP ACL
在access-list 配置模式,申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。
host source 代表一台源主机,
其source-wildcard 为0.0.0.0。
any 代表任意主机,即source
为0.0.0.0,source-wild 为255.255.255.255。
time-range-name(可选)
指明关联的time-range 的名称
步骤4 end
退回到特权模式。
步骤5 show access-lists [name]
显示该接入控制列表,如果您不指定access-list 及name 参数,则显示所有接入控制列表。
步骤6 copy running-config startup-config
保存配置
例:创建一条IP Standard Access-list(标准访问列表)
该ACL 名字deny-host192.168.l2.x:包含两条ACE:
第一条ACE 拒绝来自192.168.12.0 网段的任一主机,
第二条ACE 允许其它任意主机。
同时将其应用到端口f 0/2上
Switch(config)# ip access-list standard deny-host192.168.l2.x
Switch(config-std-nacl)# deny 192.168.12.0 0.0.0.255 any
Switch(config-std-nacl)# permit any
Switch(config-std-nacl)# end
Switch# config t
Switch(config)# interface FastEthernet 0/2
Switch (config-if)# ip access-group deny-host192.168.l2.x in
Switch(config-if)#end
Switch # show access-list
例:创建一条IP Extended Access-list(扩展访问列表)
该ACL 名字allow_0xc0a800_to_172.168.12.3 包含一条ACE,
用于允许指定网络(192.168.x..x)的所有主机以HTTP 访问服务器172.168.12.3,但拒绝其它所有主机使用网络。
Switch(config)# ip access-list extended allow_0xc0a800_to_172.168.12.3
Switch(config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www
Switch(config-std-nacl)#end
Switch # show access-list
3.MAC Extended ACLs
配置MAC Extended ACL 的过程,与配置IP 扩展ACL 的配置过程是类似的。
在特权配置模式,您可以通过如下步骤来创建一条MAC Extended ACL:
步骤1 configure terminal
进入全局配置模式。
步骤2 mac access-list extended {name}
以名字定义一条mac extended acl,并进入
access-list 配置模式
步骤3 {deny | permit} {any | host source MAC address} {any | host destination MAC
address} [aarp |appletalk |decnet-iv
| diagnostic | etype-6000|etype-8042
| lat | lavc-sca | mop-console
|mop-dump | mumps |
netbios|vines-echo | xns-idp]
[time-range time-range-name]
在access-list配置模式,申明对任意源MAC地址或指定的源MAC地址、对任意目的MAC地址或指定的目的MAC地址的报文设置允许其通过或拒绝之的条件。(可选项)您可以输入如下以太网协议类型:
aarp | appletalk |decnet-iv |diagnostic |
etype-6000 | etype-8042 | lat | lavc-sca
|mop-console | mop-dump | mumps |
netbios|vines-echo | xns-idp
time-range-name(可选)
指明关联的time-range的名称
步骤4 end
退回到特权模式。
步骤5 show access-lists [name]
显示该接入控制列表,如果您不指定access-list 及name 参数,则显示所有接入控制列表。