ACL简单介绍和典型配置.docVIP

ACL 典型配置 1.1 访问控制列表简介 访问控制列表概述 为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的 对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相 应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功 能。 ACL 通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、 目的地址、端口号等。ACL 可应用在交换机全局或端口上，交换机根据ACL 中指定 的条件来检测数据包，从而决定是转发还是丢弃该数据包。 由ACL 定义的数据包匹配规则，还可以在其它需要对流量进行区分的场合引用，如 定义QoS 中的流分类规则时。 一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围 大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。 1.1.2 以太网交换机支持的访问控制列表 在以太网交换机中，访问控制列表分为以下几类： ???基于数字标识的基本访问控制列表。 ???基于名字标识的基本访问控制列表。 ???基于数字标识的高级访问控制列表。 ???基于名字标识的高级访问控制列表。 ???基于数字标识的二层访问控制列表。 ???基于名字标识的二层访问控制列表。 交换机上对各种访问控制列表的数目限制如下表所示： 项目 数字取值范围 基于数字标识的基本访问控制列表(ip-group) 2000～2999 (只能定义源ip地址段) 基于数字标识的高级访问控制列表(ip-group) 3000～3999 (可以定义源目的ip地址段，和源目的端口号) 基于数字标识的二层访问控制列表(link-group) 4000～4999 (可以定义源目的mac地址，或者vlan号) ACL访问控制列表典型配置 组网图 端口ACL典型组网图 全局ACL典型组网图 应用要求 以上组网图中，财经部工资服务器（Server）连接在S8500的g7/1/1端口，端口ACL组网图中研发部计算机（PC1）连接在S8500的e3/1/1端口上，全局ACL组网图中研发部计算机（PC）连接在S8500的g9/1/1到g9/3/1共9个端口上。研发部属于VLAN 10，IP地址为/24，财经部属于VLAN 11，IP地址为/24，其中工资服务器的地址为1/24。要求正确配置ACL，限制研发部除与这2个地址之外的主机上班时间8:00到18:00访问工资服务器。 适用产品、版本 软件版本：端口ACL，S8500交换机全系列软件版本；全局ACL，S8500交换机1273及以后版本。 硬件版本：端口ACL，S8500交换机全系列硬件版本；全局ACL，B类单板无法支持该功能。 配置过程和解释 该组网需求可以通过端口ACL或者全局ACL，一般情况下建议采用端口ACL 端口ACL配置 在S8500上创建研发部所属VLAN 10和财经部所属VLAN 11，并配置接口地址，使研发部计算机能ping通财经部工资服务器 [Quidway]vlan 10 [Quidway-vlan10]port Ethernet 3/1/1 [Quidway]interface Vlan-interface 10 [Quidway-Vlan-interface10]ip address [Quidway]vlan 11 [Quidway-vlan11]port GigabitEthernet 7/1/1 [Quidway]interface Vlan-interface 11 [Quidway-Vlan-interface11]ip address 在交换机上配置带time-range的ACL规则（用time-range命令可以定义在某段时间段内启用或者禁用某条acl规则） [Quidway]time-range worktime 08:00 to 18:00 working-day [Quidway]acl number 3000 (3000～3999为高级访问列表advanced) [Quidway-acl-adv-3000]rule 0 permit ip source 0 [Quidway-acl-adv-3000]rule 1 permit ip source 0 [Quidway-acl-adv-3000]rule 2 deny ip source 55 destination 10. 11.11.11 0 time-range worktime 在相应的交换机端口上激活访问控制列表 [Quidway