《锐捷 访问控制列表配置》由会员分享,可在线阅读,更多相关《锐捷 访问控制列表配置(8页珍藏版)》请在金锄头文库上搜索。
1、4.1标准ACL配置提问:如何只允许端口下的用户只能访问特定的服务器网段? 回答:步骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list standard 1 -定义标准 ACLS5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255-允许访问服务器资源S5750(config-std-nacl)#deny any -拒绝访问其他任何资源 锐捷 RGNOS CookBook 13S5750(config-std-nacl)#exit -退出标准 ACL 配置模式步骤二:将ACL应用到接
2、口上S5750(config)#interface Gigabit Ethernet 0/1 -进入所需应用的端 口S5750(config-if)#ip access-group 1 in -将标准 ACL 应用到端口 in 方向注释:1. S1900系列、S20系列交换机不支持基于硬件的ACL。2. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝 所有数据流”的语句。3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP软件版本10.2 (2)为例。其他说明,其详见各产品的配置手册访问控制列表配置一节。4.2扩展ACL配置提问:如何禁止用户访问单个网页服务器?回答:步
3、骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -创建扩展 ACLS5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www-禁止访问web服务器S5750(config-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 -预防震荡波病毒S5750(config-ext-nacl)#permit ip any
4、any -允许访问其他任何资源S5750(config-ext-nacl)#exit -退出 ACL 配置模式步骤二:将ACL应用到接口上S5750(config)#interface Gigabit Ethernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 100 in -将扩展 ACL 应用到端口下4.3 VLAN之间的ACL配置提问:如何禁止VLAN间互相访问?回答:步骤一:创建 vlan10、vlan20、vlan30锐捷 RGNOS CookBook14S5750#conf -进入全局配置模式S5750(config)#vlan
5、10 -创建 VLAN10S5750(config-vlan)#exit -退出 VLAN 配置模式S5750(config)#vlan 20 -创建 VLAN20S5750(config-vlan)#exit -退出 VLAN 配置模式S5750(config)#vlan 30 -创建 VLAN30S5750(config-vlan)#exit -退出 VLAN 配置模式 步骤二:将端口加入各自vlanS5750(config)# interface range gigabitEthernet 0/1-5-进入 gigabit Ethernet 0/1-5 号端口S5750(config-i
6、f-range)#switchport access vlan 10-将端口加划分进vlan10S5750(config)# interface range gigabit Ethernet 0/6-10-进入 gigabit Ethernet 0/6-10 号端口S5750(config-if-range)#switchport access vlan 20-将端口加划分进vlan20S5750(config-if-range)#exit 退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15-进入 gigabit Eth
7、ernet 0/11-15 号端口S5750(config-if-range)#switchport access vlan 30-将端口加划分进vlan30S5750(config-if-range)#exit 退出端口配置模式步骤三:配置vlan10、vlan20、vlan30的网关IP地址S5750(config)#interface vlan 10 -创建 vlan10 的 SVI 接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0-配置VLAN10的网关S5750(config-if)#exit 退出端口配置模式S5750
8、(config)#interface vlan 20 -创建 vlan10 的 SVI 接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0锐捷 RGNOS CookBook15 -配置VLAN10的网关S5750(config)#interface vlan 30 -创建 vlan10 的 SVI 接口S5750(config-if)#ip address 192.168.30.1 255.255.255.0-配置VLAN10的网关S5750(config-if)#exit -退出端口配置模式步骤四:创建ACL,使vlan20能访问
9、vlan10,而vlan30不能访问 vlan10S5750(config)#ip access-list extended deny30 -定义扩展 ACLS5750(config-ext-nacl)#deny ip 192.168.30.00.0.0.255192.168.10.0 0.0.0.255-拒绝vlan30的用户访问vlan10资源S5750(config-ext-nacl)#permit ip any any-允许vlan30的用户访问其他任何资源S5750(config-ext-nacl)#exit -退出扩展 ACL 配置模式步骤五:将ACL应用到vlan30的SVI 口
10、 in方向S5750(config)#interface vlan 30 -创建 vlan30 的 SVI 接口S5750(config-if)#ip access-group deny30 in-将扩展ACL应用到vlan30的SVI接口下4.4单向ACL的配置提问:如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?回答:步骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -定义扩展 ACLS5750(config-ext-nacl)#deny tcp any host
11、192.168.1.254 match-all syn-禁止主动向A主机发起TCP连接S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资 源S5750(config-ext-nacl)#exit -退出扩展 ACL 配置模式锐捷 RGNOS CookBook16步骤二:将ACL应用到接口上S5750(config)#interface Gigabit Ethernet 0/1 -进入连接 B 主机的 端口S5750(config-if)#ip access-group 100 in -将扩展 ACL 应用到端 口下S5750(config-if)#end -退回特权模式S5750#wr -保存注释:单向ACL只能对应于TCP协议,使用PING无法对该功能 进行检测。
