《三层交换机项目培训课件.pptVIP

关于ACL的问题 ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。 ACL的种类 基本IPv4 ACL 2000～2999 只根据报文的源IP地址信息制定匹配规则 高级IPv4 ACL 3000～3999 根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 二层ACL 4000～4999 根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 ACL配置举例 基本ACL配置 实现每天8：0~18:00时段内对源ip为主机发出报文的过滤 time-range huawei 8:00 to 18:00 working-day acl number 2000 rule 1 deny source 0 time-range huawei interface g1/0/1 packet-filter inbound ip-group 2000 ACL配置举例 高级访问控制列表的配置 实现禁止上班时两段ip地址的互访 acl number 3000 rule 1 deny ip source 55 destination 55 rule 2 deny ip source any destination time-range huawei quit interface g1/0/2 packet-filter inbound ip-group 3000 ACL配置举例 二层ACL配置 实现上班时过滤源mac为00e0-fc01-0101的报文 acl number 4000 rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range huawei interface g1/0/4 packet-filter inbound link-group 4000 常用的交换机命令 port default vlan 1000 将端口设置到vlan 1000内（接口配置模式下） undo port default vlan 删除端口vlan（接口配置模式下） aaa 进入AAA模式（配置模式下） local-user lsjy password cipher lsjy 创建本地用户lsjy，密码为密文 local-user lsjy privilege level 3 设置用户操作权限 local-user lsjy service-type telnet 设置用户登录类型为telnet Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 端口和mac地址的绑定 配置命令： mac-address static 00e0-fc22-f8d3 GigabitEthernet1/0/1 vlan 211 终端mac地址的查看： 通过cmd窗口输入 ipconfig /all 通过交换机的端口查看学习上来的mac： display mac-address dynamic GigabitEthernet1/0/1 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. IP地址和mac地址的绑定 配置命令： 在配置模式下，输入 arp static 00e0-fc22-f8d3 完成对PC机的IP地址和MAC地址的全局绑定 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 设备配置 S2326TP-SI-AC Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pt