访问控制列表(二).ppt

  1. 1、本文档共16页,可阅读全部内容。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
  4. 文档侵权举报电话:400-050-0739(电话支持时间:9:00-19:00)。
* * * * * * * * * * * * 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 第 *页 / 共 页 文档类型: 文档密级: 主送对象: 抄送对象: 文档编号: 审 核 人: * 访问控制列表的应用位置 1.在接口上调用已经配置好的ACL 数据流是从交换机的接口出入,如果所配置的ACL想要发挥作用,就需要将配置好的ACL应用在接口上,接口可以是物理接口也可以是SVI。应用的方向根据ACL的内容以及数据流进入接口的方向进行配置选择 ip access-list extended FOR_VLAN10 10 permit ip host 0 55 20 deny ip 55 55 30 deny ip 55 55 31 deny ip 55 55 40 permit tcp 55 host eq www 50 deny ip 55 host 60 permit ip any any VLAN10 数据流的源IP是0(VLAN 10网段) 目的网段 应用在这两个接口上只有OUT方向的ACL才可以与数据流进行匹配 接口上配置OUT方向的ACL会对流出该接口的数据流进行匹配 * 访问控制列表的应用位置 2.在什么设备上配置ACL 二层交换机(接入)、三层交换机(汇聚网关)均支持ACL配置,那么在哪台设备上应用ACL呢?需要结合实际的需求来判断将ACL应用在什么层次的设备上 控制VLAN内的数据流,则需要在接入交换机上配置ACL PC A 0/24 PC B 0/24 控制PC A无法访问PC B 将ACL应用在该接口下,方向为in 将ACL应用在该接口下,方向为in 哪种方式会起作用?为什么? ip access-list extended FOR_VLAN10 10 deny ip host 0 host 0 20 permit ip any any * 访问控制列表的应用位置 2.在什么设备上配置ACL 二层交换机(接入)、三层交换机(汇聚网关)均支持ACL配置,那么在哪台设备上应用ACL呢?需要结合实际的需求来判断将ACL应用在什么层次的设备上 控制跨网段转发的数据流,建议在汇聚网关上配置ACL,这样可以减少配置量 VLAN10 如果将ACL配置在接入交换机上 1.需要在多台交换机上配置 2.需要明确接入交换机哪个端口属于VLAN10,哪个端口属于VLAN20 VLAN30 VLAN40 VLAN10 VLAN20 … … … 控制VLAN 10内的PC不能访问VLAN 30 控制VLAN 20内的PC不能访问VLAN 40 … … ip access-list extended FOR_VLAN10(为VLAN20配置的ACL略) 10 deny ip 55 55 20 permit ip any any VLAN20 配置工作量较大,而且容易出错 * 访问控制列表的应用位置 2.在什么设备上配置ACL 二层交换机(接入)、三层交换机(汇聚网关)均支持ACL配置,那么在哪台设备上应用ACL呢?需要结合实际的需求来判断将ACL应用在什么层次的设备上 控制跨网段转发的数据流,建议在汇聚网关上配置ACL,这样可以减少配置量 VLAN10 VLAN30 VLAN40 VLAN10 VLAN20 … … … 控制VLAN 10内的PC不能访问VLAN 30 控制VLAN 20内的PC不能访问VLAN 40 … … ip access-list extended FOR_VLAN10(为VLAN20配置的ACL略) 10 deny ip 55 55 20 permit ip any any VLAN20 在网关交换机的SVI下配置ACL Ruijie(config)#int vlan 10 Ruijie((config-VLAN 10)#ip access-group FOR_VLAN10 in Ruijie(config)#int vlan 20 Ruijie((config-VLAN 20)#ip access-group FOR_VLAN20 in 仅需要在网关交换机的网关SVI接口下配置

您可能关注的文档

文档评论(0)

阿毛
该用户很懒,什么也没介绍

相关文档

相关课程推荐