三層交換機(jī)訪問控制列表ACL的配置-課件

三層交換機(jī)

訪問列表ACL的配置2020/12/151ACL是交換機(jī)實(shí)現(xiàn)的一種數(shù)據(jù)包過濾機(jī)制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對(duì)網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。ACL是一個(gè)有序的語(yǔ)句集，每一條語(yǔ)句對(duì)應(yīng)一條特定的規(guī)則(rule)。每條rule包括了過濾信息及匹配此rule時(shí)應(yīng)采取的動(dòng)作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號(hào)、tcp端口等條件的有效組合。根據(jù)不同的標(biāo)準(zhǔn)，ACL可以有如下分類：根據(jù)過濾信息：ipaccess-list（三層以上信息），macaccess-list（二層信息），mac-ipaccess-list（二層以上信息）。根據(jù)配置的復(fù)雜程度：標(biāo)準(zhǔn)(standard)和擴(kuò)展(extended)，擴(kuò)展方式可以指定更加細(xì)致過濾信息。根據(jù)命名方式：數(shù)字(numbered)和命名(named)2020/12/152精品資料3你怎么稱呼老師？如果老師最后沒有總結(jié)一節(jié)課的重點(diǎn)的難點(diǎn)，你是否會(huì)認(rèn)為老師的教學(xué)方法需要改進(jìn)？你所經(jīng)歷的課堂，是講座式還是討論式？教師的教鞭“不怕太陽(yáng)曬，也不怕那風(fēng)雨狂，只怕先生罵我笨，沒有學(xué)問無(wú)顏見爹娘……”“太陽(yáng)當(dāng)空照，花兒對(duì)我笑，小鳥說早早早……”4IPACL（1）配置數(shù)字標(biāo)準(zhǔn)IP訪問列表（2）配置數(shù)字?jǐn)U展IP訪問列表（3）配置命名標(biāo)準(zhǔn)IP訪問列表（4）配置命名擴(kuò)展IP訪問列表MACACL（1）配置數(shù)字標(biāo)準(zhǔn)MAC訪問列表（2）配置數(shù)字?jǐn)U展MAC訪問列表（3）配置命名擴(kuò)展MAC訪問列表MAC-IP（1）配置數(shù)字?jǐn)U展MAC-IP訪問列表（2）配置命名擴(kuò)展MAC-IP訪問列表2020/12/155IP訪問列表類型命名標(biāo)準(zhǔn)IP訪問列表命名擴(kuò)展IP訪問列表數(shù)字標(biāo)準(zhǔn)IP訪問列表數(shù)字?jǐn)U展IP訪問列表基于時(shí)間的訪問列表2020/12/156配置命名標(biāo)準(zhǔn)IP訪問列表的步驟創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP訪問列表指定多條permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/157創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP訪問列表命令：ipaccess-liststandard<name>說明：

name為訪問列表的名字，字符串長(zhǎng)度為1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。舉例：創(chuàng)建一個(gè)名為test的標(biāo)準(zhǔn)IP訪問列表ipaccess-liststandardtest

2020/12/158指定多條permit或deny規(guī)則命令：deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}說明：

sIpAddr為源IP地址，sMask為源IP的反掩碼。舉例：允許源地址為/24的數(shù)據(jù)包通過，拒絕源地址為的數(shù)據(jù)包通過。Permit55

Denyhost-source2020/12/159開啟交換機(jī)的包過濾功能相關(guān)命令：Firewallenable作用：開啟交換機(jī)的包過濾功能（即防火墻功能）Firewalldisable作用：關(guān)閉交換機(jī)的包過濾功能說明在允許和禁止防火墻時(shí)，都可以設(shè)置訪問規(guī)則。但只有在防火墻起作用時(shí)才可以將規(guī)則應(yīng)用至特定端口的特定方向上；使防火墻不起作用后將刪除端口上綁定的所有ACL。2020/12/1510設(shè)置包過濾的默認(rèn)動(dòng)作相關(guān)命令：Firewalldefaultpermit作用：設(shè)置其默認(rèn)動(dòng)作為允許Firewalldefaultdeny作用：設(shè)置其默認(rèn)動(dòng)作為拒絕說明此命令只影響端口入口方向的IP包，其余情況下數(shù)據(jù)包均可通過交換機(jī)。2020/12/1511將訪問列表應(yīng)用到指定端口命令：Interface<interface>Ipaccess-group<access-list-name>in|out作用：在端口的某個(gè)方向上應(yīng)用一條access-list說明一個(gè)端口可以綁定一條入口規(guī)則和一條出口規(guī)則；ACL綁定到出口時(shí)只能包含deny規(guī)則；如果是堆疊交換機(jī)，則只能在入口綁定ACL，不能在出口綁定ACL。2020/12/1512總結(jié)：對(duì)ACL中的表項(xiàng)的檢查是自上而下的，只要匹配一條表項(xiàng)，對(duì)此ACL的檢查就馬上結(jié)束。端口特定方向上沒有綁定ACL或沒有任何ACL表項(xiàng)匹配時(shí)，才會(huì)使用默認(rèn)規(guī)則。每個(gè)端口入口和出口可以各綁定一條IPACL。當(dāng)一條ACL被綁定到端口出口方向時(shí)，只能包含deny表項(xiàng)?？梢耘渲肁CL拒絕某些ICMP報(bào)文通過以防止“沖擊波”等病毒攻擊。對(duì)于堆疊交換機(jī)，則只能在入口綁定ACL，不能在出口綁定ACL。2020/12/1513標(biāo)準(zhǔn)訪問列表應(yīng)用舉例要求：PC1()不能訪問服務(wù)器server1()和server2()，PC2()可以訪問。PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。2020/12/1514switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#denyhost-source#exit#inte0/0/23#ipaccess-grouppc1toserver1outSwitch(config)#ipaccess-liststandardpc1toserver2#denyhost-source#exit#inte0/0/24#ipaccess-grouppc1toserver2out2020/12/1515配置命名擴(kuò)展IP訪問列表的步驟創(chuàng)建一個(gè)命名擴(kuò)展IP訪問列表指定多條permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1516創(chuàng)建一個(gè)命名擴(kuò)展IP訪問列表命令：ipaccess-listextended<name>說明：

name為訪問列表的名字，字符串長(zhǎng)度為1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。舉例：創(chuàng)建一個(gè)名為test的擴(kuò)展IP訪問列表ipaccess-listextendedtest

2020/12/1517指定多條permit或deny規(guī)則命令（過濾ICMP數(shù)據(jù)包）：deny|permiticmp<sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>}|any-destination|host-destination<dIpAddr>[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time–range<time-range-name>]說明<icmp-type>，icmp的類型，0－255；<icmp-code>，icmp的協(xié)議編號(hào)，0－255；<prec>，IP優(yōu)先級(jí)，0－7；<tos>，tos值，0-15time-range-name>，時(shí)間范圍名稱。2020/12/1518指定多條permit或deny規(guī)則命令（過濾IGMP數(shù)據(jù)包）：deny|permitigmp<sIpAddr><sMask>|any-source|{host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>]說明<igmp-type>，igmp的類型，0---2552020/12/1519指定多條permit或deny規(guī)則命令（過濾TCP數(shù)據(jù)包）：deny|permittcp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]說明<sPort>，源端口號(hào)，0-65535；<dPort>，目的端口號(hào)，0-65535。2020/12/1520指定多條permit或deny規(guī)則命令（過濾UDP數(shù)據(jù)包）：deny|permitudp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][precedence<prec>][tos<tos>][time-range<time-range-name>]2020/12/1521指定多條permit或deny規(guī)則命令（過濾IP等數(shù)據(jù)包）：deny|permiteigrp|gre|igrp|ipinip|ip|<int><sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[precedence<prec>][tos<tos>][time–range<time-range-name>]2020/12/1522舉例：創(chuàng)建名為udpFlow的擴(kuò)展訪問列表。拒絕igmp報(bào)文通過，允許目的地址為、目的端口為32的udp包通過。#ipaccess-listextendedudpFlow#denyigmpany-sourceany-destination#permitudpany-sourcehost-destinationdPort322020/12/1523命名擴(kuò)展IP訪問列表應(yīng)用舉例要求：允許PC1訪問server的Telnet服務(wù)，但不能ping通它；拒絕PC2訪問server的Telnet服務(wù)，但能ping通它。2020/12/1524在5526交換機(jī)上進(jìn)行配置Ipaccess-listextendedpc1toserverPermittcp55host-destination54dport23Denyicmphost-sourcehost-destination54Ipaccess-listextendedpc2toserverdenyicmphost-sourcehost-destination54Permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-grouppc1toserverinInterfacee0/0/2Ipaccess-grouppc2toserverin2020/12/1525配置數(shù)字標(biāo)準(zhǔn)IP訪問列表的步驟創(chuàng)建一個(gè)數(shù)字標(biāo)準(zhǔn)IP訪問列表，并指定permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1526創(chuàng)建一個(gè)數(shù)字標(biāo)準(zhǔn)IP訪問列表命令：access-list<num>deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}說明：

num為訪問列表的數(shù)字編號(hào)，取值1—99。sIpAddr為源IP地址，sMask為源IP的反掩碼。如果已有此訪問列表，則增加一條規(guī)則。舉例：創(chuàng)建一個(gè)編號(hào)為1的標(biāo)準(zhǔn)IP訪問列表，允許網(wǎng)段的數(shù)據(jù)通過。access-list1permit552020/12/1527數(shù)字標(biāo)準(zhǔn)訪問列表應(yīng)用舉例要求：PC1()不能訪問服務(wù)器server1()和server2()，PC2()可以訪問。PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。2020/12/1528switch#confSwitch(config)#access-list1denyhost-source#exit#inte0/0/23#ipaccess-group1outSwitch(config)#access-list2denyhost-source#exit#inte0/0/24#ipaccess-group2out2020/12/1529配置數(shù)字?jǐn)U展IP訪問列表的步驟創(chuàng)建一個(gè)數(shù)字?jǐn)U展IP訪問列表，并指定permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1530創(chuàng)建一個(gè)數(shù)字標(biāo)準(zhǔn)IP訪問列表命令：access-list<num>deny|permit……說明：

num為訪問列表的數(shù)字編號(hào)，取值100—199。sIpAddr為源IP地址，sMask為源IP的反掩碼。如果已有此訪問列表，則增加一條規(guī)則。舉例：創(chuàng)建一個(gè)編號(hào)為101的擴(kuò)展IP訪問列表，允許網(wǎng)段的主機(jī)訪問ftp服務(wù)器。access-list101permittcp55

host-destinationdport21

2020/12/1531數(shù)字?jǐn)U展IP訪問列表應(yīng)用舉例要求：允許PC1訪問server的Telnet服務(wù)，但不能ping通它；拒絕PC2訪問server的Telnet服務(wù)，但能ping通它。2020/12/1532在5526交換機(jī)上進(jìn)行配置access-list101permittcp55host-destination54dport23access-list101denyicmphost-sourcehost-destination54access-list102denyicmphost-sourcehost-destination54access-list102permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-group101inInterfacee0/0/2Ipaccess-group102in2020/12/1533基于時(shí)間的訪問控制列表概述可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一個(gè)星期中的不同日期，或者二者相結(jié)合，來(lái)控制對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。實(shí)現(xiàn)基于時(shí)間的訪問列表的操作步驟定義一個(gè)時(shí)間范圍在訪問列表中引用時(shí)間范圍2020/12/1534基于時(shí)間的訪問控制列表的配置第一步：時(shí)間范圍命名time-range<時(shí)間范圍名稱>第二步：定義具體的時(shí)間范圍定義絕對(duì)時(shí)間范圍absoluteAbsolute-periodic定義周期、重復(fù)使用的時(shí)間范圍periodic第三步在訪問列表中引用時(shí)間范圍2020/12/1535說明absolute-periodicMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>PeriodicMonday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday|daily|weekdays|weekend<hh:mm:ss>to<hh:mm:ss>absoluteMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>

或absolutestart<hh:mm:ss><yyyy.mm.dd>end<hh:mm:ss><yyyy.mm.dd>2020/12/1536說明periodic命令中參數(shù)參數(shù)描述Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,sunday某一天或某幾天的結(jié)合daily每天weekdays從星期一到星期五weekend星期六和星期日確保交換機(jī)時(shí)鐘設(shè)置準(zhǔn)確開始時(shí)間必須小于結(jié)束時(shí)間

2020/12/1537舉例：使Tuesday的9:15:30到Saturday的12:30:00時(shí)間段內(nèi)配置生效Switch(Config)#time-rangedc_timer

Switch(Config-Time-Range)#absolute-periodicTuesday9:15:30toSaturday.12:30:00使Monday、Wednesday、Friday和Sunday四天內(nèi)的14:30:00到16:45:00時(shí)間段配置生效Switch(Config-Time-Range)#periodicMondayWednesdayFriday

Sunday14:30:00to16:45:002020/12/1538基于時(shí)間訪問列表應(yīng)用舉例要求：限制網(wǎng)段的主機(jī)只能在2007年6月1日至2008年12月31日內(nèi)的星期六的早上7:00到星期日的下午5:00進(jìn)行WWW訪問。2020/12/1539Route-config#time-rangeallow-wwwRoute-config-time-range#absolutestart7:00:002007.6.1end17:00:002008.12.31Route-config-time-range#periodicweekend7:00:00to17:00:00Route-config#ipaccess-listextendedtimeaclRoute-config-ext-nacl#permittcp55any-destinationdport80time-rangeallow-wwwRoute-config#firewallenableRoute-config#firewalldefaultpermitRoute-config#intE0/0/1Route-config-f0/1#ipaccess-grouptimeaclin2020/12/1540第五次實(shí)驗(yàn)ACL配置（一）實(shí)驗(yàn)?zāi)康睦斫釧CL的作用掌握交換機(jī)的命名標(biāo)準(zhǔn)ACL和命名擴(kuò)展ACL的配置方法掌握交換機(jī)的數(shù)字標(biāo)準(zhǔn)ACL和數(shù)字?jǐn)U展ACL的配置方法實(shí)驗(yàn)內(nèi)容見《交換機(jī)實(shí)驗(yàn)》中的實(shí)驗(yàn)三十一、三十二。2020/12/1541實(shí)驗(yàn)三十一——標(biāo)準(zhǔn)ACL配置PC1和PC2通過交換機(jī)A連到Server（假設(shè)為telnet服務(wù)器）。要求：不配置ACL時(shí)，PC1和PC2都可訪問server；配置ACL后，PC1和PC2都不能訪問server。只有更改了IP地址后才可訪問；2020/12/1542Ipaccess-liststandardtestDeny155Deny2為什么會(huì)有下列結(jié)果？PC端口Ping結(jié)果Pc1:10/0/1不通Pc1:20/0/1不通Pc2:20/0/9不通Pc2:20/0/9通2020/12/1543實(shí)驗(yàn)三十二——擴(kuò)展ACL配置PC1和PC2通過交換機(jī)A連到Server（假設(shè)為telnet服務(wù)器）。要求：不配置ACL時(shí)，PC1和PC2都可訪問server；配置ACL后，PC2不能訪問server。只有更改了IP地址后才可訪問；2020/12/1544Ipaccess-listextendedtestDenytcphost-source2host-destinationdport23為什么會(huì)有下列結(jié)果？PC端口telnet結(jié)果Pc1:10/0/1通Pc2:20/0/9不通Pc2:20/0/9通2020/12/1545第六次實(shí)驗(yàn)——ACL配置（二）實(shí)驗(yàn)?zāi)康倪M(jìn)一步熟悉和掌握交換機(jī)的ACL配置。實(shí)驗(yàn)內(nèi)容見《交換實(shí)驗(yàn)指導(dǎo)》實(shí)驗(yàn)三十三、三十四2020/12/1546實(shí)驗(yàn)三十三——單向訪問控制的實(shí)現(xiàn)PC1和PC2通過交換機(jī)A相連。要求：不配置ACL時(shí)，PC1和PC2可以互訪；配置ACL后，PC1可以訪問PC2，但PC2不能訪問PC1（如ping）。2020/12/1547Ipaccess-listextendedtestDenyicmphost-source2host-destination18Inte0/0/1Ipaccess-grouptestin2020/12/1548實(shí)驗(yàn)三十四——配置訪問列表過濾病毒目的了解病毒的工作原理，掌握常見病毒的特征；掌握過濾病毒的方法要求通過配置，使交換機(jī)能隔離病毒。2020/12/1549病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)的漏洞進(jìn)行攻擊，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、文件丟失或被破壞、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰等。病毒常會(huì)利用135、139、69、4444、445等端口。2020/12/1550第一步：創(chuàng)建aclipaccess-listextendedantivirus第二步：制定過濾規(guī)則//禁pingdenyicmpany-sourceany-destination//用于控制Blaster蠕蟲的傳播denyudpany-sourceany-destinationd-port69denytcpany-sourceany-destinationd-port4444//用于控制沖擊波病毒的掃描和攻擊denytcpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port137denyudpany-sourceany-destinationd-porteq138denytcpany-sourceany-destinationd-port139denyudpany-sourceany-destinationd-port1392020/12/1551denytcpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port5554denytcpany-sourceany-destinationd-port9995denytcpany-sourceany-destinationd-port9996啟用防火墻功能，并配置默認(rèn)規(guī)則FirewallenableFirewalldefaultpermit將ACL應(yīng)用于端口Ipaccess-groupantivirusin2020/12/1552MAC訪問列表類型數(shù)字標(biāo)準(zhǔn)MAC訪問列表數(shù)字?jǐn)U展MAC訪問列表命名擴(kuò)展MAC訪問列表2020/12/1553配置數(shù)字標(biāo)準(zhǔn)MAC訪問列表的步驟創(chuàng)建數(shù)字標(biāo)準(zhǔn)MAC訪問列表 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1554創(chuàng)建數(shù)字標(biāo)準(zhǔn)MAC訪問列表命令：access-list<access-list-number>deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>功能：定義一條標(biāo)準(zhǔn)數(shù)字MACACL規(guī)則參數(shù)：<access-list-number>訪問表號(hào)，取值700到799；<smac>，<host_smac>源MAC地址；<smac-mask>源MAC地址的掩碼（反掩碼）說明：當(dāng)用戶第一次指定特定<num>時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)。舉例：允許源MAC地址為00-00-XX-XX-00-01的數(shù)據(jù)包通過，拒絕源地址為00-00-00-XX-00-ab的數(shù)據(jù)包通過。Switch(Config)#access-list700permit00-00-00-00-00-0100-00-FF-FF-00-01Switch(Config)#access-list700deny00-00-00-00-00-ab00-00-00-FF-00-ab2020/12/1555配置數(shù)字?jǐn)U展MAC訪問列表的步驟創(chuàng)建數(shù)字?jǐn)U展MAC訪問列表 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1556創(chuàng)建數(shù)字?jǐn)U展MAC訪問列表命令：access-list<access-list-number>{deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3}[<offset1><length1><value1>[<offset2><length2><value2>[<offset3><length3><value3>[<offset4><length4><value4>]]]]參數(shù)：<access-list-number>訪問表號(hào)，取值1100－1199；untagged-eth2未標(biāo)記的ethernetII包格式；tagged-eth2標(biāo)記的ethernetII包格式；untagged-802.3未標(biāo)記的ethernet802.3包格式；tagged-802.3標(biāo)記的ethernet802.3包格式；Offset(x)從包頭開始起的偏移量，范圍為（12-79）；Length(x)長(zhǎng)度為1-4；Value(x)16進(jìn)制數(shù)表示，取值范圍：當(dāng)Length(x)=1為0-ff,當(dāng)Length(x)=2為0-ffff,當(dāng)Length(x)=3為0-ffffff,當(dāng)Length(x)=4為0-ffffffff；對(duì)于Offset(x)，對(duì)不同的數(shù)據(jù)幀類型，它的取值范圍不同：對(duì)untagged-eth2類型幀：<12～51>，對(duì)untagged-802.3類型幀：<12～55>，對(duì)tagged-eth2類型幀：<12～59>，對(duì)tagged-802.3類型幀：<12～63>2020/12/1557舉例：允許任意源MAC地址任意目的MAC地址的tagged-eth2，且其第1516個(gè)字節(jié)分別為0x08，0x0的包通過Switch(Config)#access-list1100permitany-source-macany-destination-mactagged-eth214208002020/12/1558配置命名擴(kuò)展MAC訪問列表的步驟創(chuàng)建一個(gè)命名擴(kuò)展MAC訪問列表指定多條permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1559創(chuàng)建一個(gè)命名擴(kuò)展IP訪問列表命令：Mac-access-listextended<name>說明：

name為訪問列表的名字，字符串長(zhǎng)度為1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。舉例：創(chuàng)建一個(gè)名為test的擴(kuò)展mac訪問列表Mac-access-listextendedtest

2020/12/1560指定多條permit或deny規(guī)則命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-eth2[ethertype<protocol>[protocol-mask]]]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]2020/12/1561指定多條permit或deny規(guī)則命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-802.3]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-802.3[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]]2020/12/1562指定多條permit或deny規(guī)則命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]2020/12/1563說明：cos-val:cos值，0-7；cos-bitmask:cos掩碼，0-7反掩碼且掩碼比特連續(xù)；vid-value:vlan號(hào)，1-4094；vid-bitmask:vlan掩碼，0-4095，反掩碼且掩碼比特連續(xù)；protocol:特定的以太網(wǎng)協(xié)議號(hào)，1536－65535；protocol-bitmask:協(xié)議掩碼，0－65535，反掩碼且掩碼比特連續(xù)注意：掩碼比特連續(xù)是指，掩碼有效位必須從左第一位開始連續(xù)有效，不允許中間插入無(wú)效位，例如：一個(gè)字節(jié)的反掩碼形式為：00001111b；正掩碼形式為：1110000；不允許00010011。2020/12/1564例1．管理員不希望交換機(jī)10號(hào)端口的網(wǎng)段中00-12-11-23-xx-xx的802.3數(shù)據(jù)報(bào)文的發(fā)出。

配置如下：

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-mactagged-802.3

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-macuntagged-802.3

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#macaccess-group1110in

2020/12/1565MAC-IP訪問列表類型數(shù)字?jǐn)U展MAC-IP訪問列表命名擴(kuò)展MAC-IP訪問列表2020/12/1566配置數(shù)字?jǐn)U展MAC-IP訪問列表的步驟創(chuàng)建數(shù)字?jǐn)U展MAC-IP訪問列表 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1567創(chuàng)建數(shù)字?jǐn)U展MAC-IP訪問列表命令：access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}icmp{<source><source-wildcard>|any-source|host-source<source-host-ip>}{<destination><destination-wildcard>|any-destination|host-destination<destination-host-ip>}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}igmp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<igmp-type>][precedence<precedence>][tos<tos>][time-range<time-range-name>]2020/12/1568access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>][time-range<time-range-name>]2020/12/1569access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>][tos<tos>][time-range<time-range-name>]2020/12/1570參數(shù)：access-list-number訪問表號(hào)，取值3100－3199；protocol名字或IP協(xié)議的號(hào)。它可以是關(guān)鍵字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tcp,orudp,也可以是表示IP協(xié)議號(hào)的0到255的一個(gè)整數(shù)。為了匹配任何Internet協(xié)議（包括ICMP，TCP和UDP）使用關(guān)鍵字ip。2020/12/1571例：允許源MAC為00-12-34-45-XX-XX，任意目的MAC地址，源IP地址為：，55，任意目的IP地址，且源端口是100，目的端口是40000的TCP報(bào)文通過。Switch(Config)#access-list3199permit00-12-34-45-67-0000-00-00-00-FF-FFany-destination-mactcp55s-port100any-destinationd-port400002020/12/1572舉例：拒絕任意源MAC地址及目的MAC地址，任意源IP地址及目的IP地址，且源端口是100，目的端口是40000的UDP報(bào)文通過。Switch(Config)#access-list3100denyany-source-macany-destination-macudpany-sources-port100any-destinationd-port400002020/12/1573例2.交換機(jī)10號(hào)端口連接的網(wǎng)段MAC地址是00-11-11-11-xx-xx并且IP地址是4/24的網(wǎng)段，管理員不希望使用FTP，也不允許外網(wǎng)PING此網(wǎng)段的任何一臺(tái)主機(jī)。配置如下：

switch(Config)#access-list3110deny00-11-11-11-00-0000-00-00-00-ff-ff

any-destination-mactcp455any-destinationd-port21

switch(Config)#access-list3120denyany-source-mac00-11-11-11-00-0000-00-00-00-ff-fficmpany-source455

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110in

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out2020/12/1574配置命名擴(kuò)展MAC-IP訪問列表的步驟創(chuàng)建一個(gè)命名擴(kuò)展MAC-IP訪問列表指定多條permit或deny規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問列表應(yīng)用到指定端口2020/12/1575創(chuàng)建一個(gè)命名擴(kuò)展IP訪問列表命令：Mac-ip-access-listextended<name>說明：

name為訪問列表的名字，字符串長(zhǎng)度為1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。2020/12/1576第七次實(shí)驗(yàn)ACL配置（三）實(shí)驗(yàn)?zāi)康睦斫饨粨Q機(jī)的MACACL和MAC-IPACL的作用掌握交換機(jī)的MACACL和MAC-IPACL的配置方法實(shí)驗(yàn)內(nèi)容在一臺(tái)DCS5526交換機(jī)上面劃分了三個(gè)VLAN：Eth0/0/1—VLAN10（接Internet）Eth0/0/2—VLAN20（）Eth0/0/3—DCS3926，3926上的端口全部劃入VLAN30

現(xiàn)在要在非工作時(shí)間，VLAN30中的PC不能接入Internet，請(qǐng)給出其ACL配置。2020/12/1577步驟建立時(shí)間范圍建立ACL啟用防火墻功能應(yīng)用于接口2020/12/1578第八次實(shí)驗(yàn)ACL配置（四）實(shí)驗(yàn)?zāi)康恼莆战粨Q機(jī)上ACL的配置網(wǎng)絡(luò)拓?fù)鋱D如下2020/12/1579實(shí)驗(yàn)內(nèi)容公司企業(yè)網(wǎng)通過Switch實(shí)現(xiàn)各部門之間的互連。管理部門由E0/0/4端口接入，技術(shù)支援部門由E0/0/3端口接入，研發(fā)部門由E0/0/1端口接入。工資查詢服務(wù)器子網(wǎng)地址，MAC為00e0-fc01-0303，技術(shù)支援部門IP為/24，研發(fā)部門主機(jī)MAC為00e0-fc01-0101。組網(wǎng)需求：1．要求正確配置ACL，限制研發(fā)部門在上班時(shí)間8:00至18:00訪問工資查詢服務(wù)器。2．通過基本訪問控制列表，實(shí)現(xiàn)在每天8:00～18:00時(shí)間段內(nèi)對(duì)源IP為主機(jī)發(fā)出報(bào)文的過濾。3．通過二層訪問控制列表，實(shí)現(xiàn)在每天8:00～18:00時(shí)間段內(nèi)對(duì)源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報(bào)文的過濾。2020/12/1580ACL配置技術(shù)某電子商務(wù)公司為適應(yīng)市場(chǎng)的發(fā)展組建了一個(gè)企業(yè)網(wǎng)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。該網(wǎng)絡(luò)邏輯結(jié)構(gòu)上分成核心層和接入層，核心層使用了一臺(tái)三層交換機(jī)。網(wǎng)管員按照各部門的職能將公司內(nèi)部網(wǎng)絡(luò)分成了8個(gè)VLAN，分別是公司網(wǎng)絡(luò)設(shè)備及網(wǎng)管機(jī)VLAN1（/24）、內(nèi)網(wǎng)服務(wù)器VLAN2（/24）、非軍事區(qū)DMZVLAN3（/24）、財(cái)務(wù)部VLAN4（/24）、市場(chǎng)部VLAN5（/24）、研發(fā)部VLAN6（/24）、接待室VLAN（/24）。每個(gè)網(wǎng)段的缺省網(wǎng)關(guān)地址由從