03 三层交换机访问控制列表ACL的配置.ppt

三层交换机

访问列表ACL的配置;ACL是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的平安运行。

ACL是一个有序的语句集，每一条语句对应一条特定的规那么(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。

根据不同的标准，ACL可以有如下分类：

根据过滤信息：ipaccess-list〔三层以上信息〕，macaccess-list〔二层信息〕，mac-ipaccess-list〔二层以上信息〕。

根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。

根据命名方式：数字(numbered)和命名(named);IPACL

〔1〕配置数字标准IP访问列表

〔2〕配置数字扩展IP访问列表

〔3〕配置命名标准IP访问列表

〔4〕配置命名扩展IP访问列表

MACACL

〔1〕配置数字标准MAC访问列表

〔2〕配置数字扩展MAC访问列表

〔3〕配置命名扩展MAC访问列表

MAC-IP

〔1〕配置数字扩展MAC-IP访问列表

〔2〕配置命名扩展MAC-IP访问列表;IP访问列表类型

命名标准IP访问列表

命名扩展IP访问列表

数字标准IP访问列表

数字扩展IP访问列表

基于时间的访问列表;配置命名标准IP访问列表的步骤;创立一个命名标准IP访问列表;指定多条permit或deny规那么;开启交换机的包过滤功能;设置包过滤的默认动作;将访问列表应用到指定端口;总结：

对ACL中的表项的检查是自上而下的，只要匹配一条表项，对此ACL的检查就马上结束。

端口特定方向上没有绑定ACL或没有任何ACL表项匹配时，才会使用默认规那么。

每个端口入口和出口可以各绑定一条IPACL。

当一条ACL被绑定到端口出口方向时，只能包含deny表项。

可以配置ACL拒绝某些ICMP报文通过以防止“冲击波〞等病毒攻击。

对于堆叠交换机，那么只能在入口绑定ACL，不能在出口绑定ACL。;标准访问列表应用举例;switch#conf

Switch(config)#ipaccess-liststandardpc1toserver1

#exit

#inte0/0/23

#ipaccess-grouppc1toserver1out

Switch(config)#ipaccess-liststandardpc1toserver2

#exit

#inte0/0/24

#ipaccess-grouppc1toserver2out;配置命名扩展IP访问列表的步骤;创立一个命名扩展IP访问列表;指定多条permit或deny规那么;指定多条permit或deny规那么;指定多条permit或deny规那么;指定多条permit或deny规那么;指定多条permit或deny规那么;举例：创立名为udpFlow的扩展访问列表。拒绝igmp报文通过，允许目的地址为、目的端口为32的udp包通过。

#ipaccess-listextendedudpFlow

#denyigmpany-sourceany-destination

#permitudpany-sourcehost-destinationdPort32;命名扩展IP访问列表应用举例;在5526交换机上进行配置

Ipaccess-listextendedpc1toserver

Permittcphost-destination54dport23

Denyicmphost-sourcehost-destination54

Ipaccess-listextendedpc2toserver

denyicmp

Permittcphost-sourcehost-destination54

Firewallenable

Firewalldefaultpermit

Interfacee0/0/1

Ipaccess-grouppc1toserverin

Interfac