收藏
下载资源

ACL简单介绍与典型配置

上传人:宝路 文档编号:3034024 上传时间:2017-07-30 格式:DOC 页数:9 大小:122.50KB
返回 下载 相关 举报
ACL简单介绍与典型配置_第1页
第1页 / 共9页
ACL简单介绍与典型配置_第2页
第2页 / 共9页
ACL简单介绍与典型配置_第3页
第3页 / 共9页
ACL简单介绍与典型配置_第4页
第4页 / 共9页
ACL简单介绍与典型配置_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《ACL简单介绍与典型配置》由会员分享,可在线阅读,更多相关《ACL简单介绍与典型配置(9页珍藏版)》请在金锄头文库上搜索。

1、ACL 典型配置1.1 访问控制列表简介1.1.1 访问控制列表概述为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表(Access Control List,ACL)就是用来实现这些功能。ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL 可应用在交换机全局或端口上,交换机根据ACL 中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL 定义的数据包匹配规则,还可以在其它需要对流量进行区分的场合引用,如定义

2、QoS 中的流分类规则时。一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。1.1.2 以太网交换机支持的访问控制列表在以太网交换机中,访问控制列表分为以下几类: 基于数字标识的基本访问控制列表。 基于名字标识的基本访问控制列表。 基于数字标识的高级访问控制列表。 基于名字标识的高级访问控制列表。 基于数字标识的二层访问控制列表。 基于名字标识的二层访问控制列表。交换机上对各种访问控制列表的数目限制如下表所示:项目 数字取值范围基于数字标识的基本访问控制列表(ip-group) 20002999 (只能定义源ip

3、地址段)基于数字标识的高级访问控制列表(ip-group) 30003999 (可以定义源目的ip地址段,和源目的端口号)基于数字标识的二层访问控制列表(link-group) 40004999 (可以定义源目的mac 地址,或者vlan号)ACL 访问控制列表典型配置1.1 组网图图 1 端口 ACL 典型组网图图 2 全局 ACL 典型组网图1.2 应用要求以上组网图中,财经部工资服务器(Server )连接在 S8500 的 g7/1/1 端口,端口 ACL 组网图中研发部计算机(PC1)连接在 S8500 的 e3/1/1 端口上,全局 ACL 组网图中研发部计算机(PC )连接在 S

4、8500 的 g9/1/1 到 g9/3/1 共 9 个端口上。研发部属于 VLAN 10,IP 地址为10.10.10.0/24,财经部属于 VLAN 11,IP 地址为 10.11.11.0/24,其中工资服务器的地址为10.11.11.11/24。要求正确配置 ACL,限制研发部除 10.10.10.2 与 10.10.10.3 这 2 个地址之外的主机上班时间 8:00 到 18:00 访问工资服务器。1.3 适用产品、版本软件版本:端口 ACL,S8500 交换机全系列软件版本;全局 ACL,S8500 交换机 1273 及以后版本。硬件版本:端口 ACL,S8500 交换机全系列硬

5、件版本;全局 ACL,B 类单板无法支持该功能。1.4 配置过程和解释该组网需求可以通过端口 ACL 或者全局 ACL,一般情况下建议采用端口 ACL端口 ACL 配置1) 在 S8500 上创建研发部所属 VLAN 10 和财经部所属 VLAN 11,并配置接口地址,使研发部计算机能 ping 通财经部工资服务器Quidwayvlan 10Quidway-vlan10port Ethernet 3/1/1Quidwayinterface Vlan-interface 10Quidway-Vlan-interface10ip address 10.10.10.1 255.255.255.0Qu

6、idwayvlan 11Quidway-vlan11port GigabitEthernet 7/1/1Quidwayinterface Vlan-interface 11Quidway-Vlan-interface11ip address 10.11.11.1 255.255.255.02) 在交换机上配置带 time-range 的 ACL 规则(用 time-range 命令可以定义在某段时间段内启用或者禁用某条 acl 规则)Quidwaytime-range worktime 08:00 to 18:00 working-dayQuidwayacl number 3000 (3000

7、3999 为高级访问列表advanced)Quidway-acl-adv-3000rule 0 permit ip source 10.10.10.2 0Quidway-acl-adv-3000rule 1 permit ip source 10.10.10.3 0Quidway-acl-adv-3000rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range worktime3) 在相应的交换机端口上激活访问控制列表Quidway-Ethernet3/1/1packet-filter inb

8、ound ip-group 3000全局 ACL 配置需要进行访问控制配置的端口占了某个单板的大部分端口时,采用全局 ACL 可以节省交换机资源,而且能大大减少重复配置劳动。如上的全局 ACL 组网图,研发部门通过g91/1g9/3/1 九个端口(该单板一共 12 个端口)与交换机相连,采用全局 ACL 实现限制研发部门除 10.10.10.2 和 10.10.10.3 之外上班时间访问工资服务器,需要进行如下配置:1) 在交换机上面创建 VLAN 10 和 VLAN 11,把端口加入到相应的 VLAN 且配置相应接口 IP 地址,使研发部计算机能 ping 通财经部工资服务器Quidwayv

9、lan 11Quidway-vlan11port GigabitEthernet 7/1/1Quidwayinterface Vlan-interface 11Quidway-Vlan-interface11ip address 10.11.11.1 255.255.255.0Quidwayvlan 10Quidway-vlan10port GigabitEthernet 9/1/1.Quidway-vlan10port GigabitEthernet 9/3/1Quidwayinterface Vlan-interface 10Quidway-Vlan-interface10ip addre

10、ss 10.10.10.1 255.255.255.02) 在交换机上配置带 time-range 的 ACL 规则Quidwaytime-range worktime 08:00 to 18:00 working-dayQuidwayacl number 3000Quidway-acl-adv-3000rule 0 permit ip source 10.10.10.2 0Quidway-acl-adv-3000rule 1 permit ip source 10.10.10.3 0Quidway-acl-adv-3000rule 2 deny ip source 10.10.10.0 0.

11、0.0.255 destination 10.11.11.11 0 time-range worktime3) 在单板上激活访问控制列表Quidwaypacket-filter inbound ip-group 3000 slot 91.5 完整配置端口 ACL 配置#time-range worktime 08:00 to 18:00 working-dayacl number 3000rule 0 permit ip source 10.10.10.2 0rule 1 permit ip source 10.10.10.3 0rule 2 deny ip source 10.10.10.0

12、 0.0.0.255 destination 10.11.11.11 0 time-rangeworktime#vlan 10#vlan 11# interface Vlan-interface10ip address 10.10.10.1 255.255.255.0#interface Vlan-interface11ip address 10.11.11.1 255.255.255.0 #interface Ethernet3/1/1port access vlan 10packet-filter inbound ip-group 3000 rule 0 system-index 1pac

13、ket-filter inbound ip-group 3000 rule 1 system-index 2packet-filter inbound ip-group 3000 rule 2 system-index 3#interface GigabitEthernet7/1/1port access vlan 11#time-range worktime 08:00 to 18:00 working-day全局 ACL 配置#acl number 3000rule 0 permit ip source 10.10.10.2 0rule 1 permit ip source 10.10.1

14、0.3 0rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-rangeworktime#vlan 10#vlan 11# interface Vlan-interface10ip address 10.10.10.1 255.255.255.0#interface Vlan-interface11ip address 10.11.11.1 255.255.255.0#interface GigabitEthernet7/1/1port access vlan 11#interface Gigabi

15、tEthernet9/1/1port access vlan 10flow-template user-defined#interface GigabitEthernet9/1/2port access vlan 10flow-template user-defined#interface GigabitEthernet9/1/3port access vlan 10flow-template user-defined#interface GigabitEthernet9/1/4port access vlan 10flow-template user-defined#interface Gi

16、gabitEthernet9/2/1port access vlan 10flow-template user-defined#interface GigabitEthernet9/2/2port access vlan 10flow-template user-defined#interface GigabitEthernet9/2/3port access vlan 10flow-template user-defined#interface GigabitEthernet9/2/4port access vlan 10flow-template user-defined#interface Giga

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号