神州数码交换机 ACL 配置

ACL 配置

创建编号为 110 的数字扩展访问列表。拒绝 icmp 报文通过，允许目的地址为192.168.0.1 目的端口为32 的udp 包通过。
Switch(Config)#access-list 110 deny icmp any-source any-destination
Switch(Config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32

创建一条编号为 20的数字标准 IP访问列表，允许源地址为 10.1.1.0/24的数据包通过，拒绝其余源地址为10.1.1.0/16 的数据包通过。
Switch(Config)#access-list 20 permit 10.1.1.0 0.0.0.255
Switch(Config)#access-list 20 deny 10.1.1.0 0.0.255.255

允许防火墙起作用
Switch(Config)#firewall enable

创建一条名为tcpFlow的命名扩展IP 访问列表
Switch(Config)#ip access-list extended tcpFlow

创建一条名为ipFlow的命名标准 IP 访问列表
Switch(Config)#ip access-list standard ipFlow

将名为aaa 的访问列表绑定到端口的出方向上
Switch(Config-Ethernet0/0/1)#ip access-group aaa out

创建名为udpFlow的扩展访问列表。拒绝igmp报文通过，允许目的地址为192.168.0.1目的端口为32 的udp 包通过。
Switch(Config)#ip access-list extended udpFlow
Switch(Config-Ext-Nacl-udpFlow)#access-list 110 deny igmp any-source any-destination
Switch(Config-Ext-Nacl-udpFlow)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32

允许源地址为 10.1.1.0/24 的数据包通过，拒绝其余源地址为 10.1.1.0/16 的数据包通过。
Switch(Config)# ip access-list standard ipFlow
Switch(Config-Std-Nacl-ipFlow)# permit 10.1.1.0 0.0.0.255
Switch(Config-Std-Nacl-ipFlow)# deny 10.1.1.0 0.0.255.255

允许源 MAC 地址为 00-00-XX-XX-00-01 的数据包通过，拒绝源地址为00-00-00-XX-00-ab 的数据包通过。
Switch(Config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-01
Switch(Config)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-ab

创建一个名字为mac_acl 的 MAC ACL
Switch(Config)# mac-access-list extended mac_acl
Switch(Config-Mac-Ext-Nacl-mac_acl)#

允许源MAC为00-12-34-45-XX-XX，任意目的 MAC地址，源 IP地址为：100.1.1.0 0.255.255.255，任意目的IP 地址，且源端口是100，目的端口是 40000 的TCP 报文通过
Switch(Config)# access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF
any-destination-mac tcp 100.1.1.0 0.255.255.255 s-port 100 any-destination d-port 40000

ACL举例
案例 1：
用户有如下配置需求：交换机的10端口连接10.0.0.0/24 网段，管理员不希望用户使用ftp，也不允许外网ping 此网段的任何一台主机。

配置更改：
1．创建相应的ACL
2．配置包过滤功能
3．绑定ACL 到端口

配置步骤如下：
Switch(Config)#access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21
Switch(Config)#access-list 120 deny icmp any-source 10.0.0.0 0.0.0.255

Switch(Config)#firewall enable
Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 0/0/10
Switch(Config-Ethernet0/0/10)#ip access-group 110 in
Switch(Config-Ethernet0/0/10)#ip access-group 120 out
Switch(Config-Ethernet0/0/10)#ex
Switch(Config)#ex

案例 2：
用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3 的数据报文发出。

配置更改：
1、创建相应的MAC ACL
2、配置包过滤功能
3、绑定 ACL 到端口

配置步骤如下：
Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any
untagged-802.3
Switch(Config)# access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any
tagged-802.3

Switch(Config)#firewall enable
Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 0/0/10
Switch(Config-Ethernet0/0/10)#ip access-group 1100 in
Switch(Config-Ethernet0/0/10)#ex
Switch(Config)#ex

案例 3：
用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且IP 为10.0.0.0/24网段，管理员不希望用户使用ftp，也不允许外网 ping此网段的任何一台主机。

配置更改：
1、创建相应的ACL
2、配置包过滤功能
3、绑定ACL 到端口

配置步骤如下：
Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp
10.0.0.0 0.0.0.255 any-destination d-port 21
Switch(Config)#access-list 3120 deny any 00-12-11-23-00-00 00-00-00-00-FF-FF icmp
any-source 10.0.0.0 0.0.0.255

Switch(Config)#firewall enable
Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 0/0/10
Switch(Config-Ethernet0/0/10)#mac-ip access-group 3110 in
Switch(Config-Ethernet0/0/10)#mac-ip access-group 3120 out
Switch(Config-Ethernet0/0/10)#ex
Switch(Config)#ex

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。