长春市上为网络技术服务有限公司(以下简称‘上为网络’),长期专注于思科、H3C
认证培训和网络咨询服务。已形成专业培训——个人素质提升——职业规划的完善培训体
系。在业界享有良好的知名度和美誉度。
今天,上为网络专注网络高端技术培训的国际网络培训机构。未来,上为网络将以更专
业的姿态,更优良的服务,面向未来全球平面化的挑战。立志成为全国最具权威,最具影响
力的网络培训实验室。上为网络的目标就是——为中国乃至世界网络业培养最优秀的技术人
才!
以学员为本,以技术为本,以质量为本的“三本”教学服务原则:
上为网络成功的重要因素就是长期以来跟踪学员学习进度,学习状态,学习质量,了解
他们的想法、需求、困难,针对每个学员量身定制各种教学计划,跟踪实验,测评考试。根
据学员缺少实际工程经验,经常邀请在思科和H3C金银牌代理,及厂家工作的资深工程师
来给学员讲解各种工程实际案例。帮助他们准备简历,面试,推荐各大公司就业。至今,已
经有上百名的学员在上为的老师帮助下,成功走上网络专业工程师的岗位。真正让学员体会
到用知识改变命运的真理。
上为网络实验室目前是东北三省唯一能够提供思科路由交换、电信服务、安全和语音4
个方向CCIE培训的实验室,是我们技术领先的象征和标志。同时根据市场热点,需求,开
发各种网络组合课程。追求技术,精益求精,永无止境。
优秀的教师团队:
上为网络目前有4名专职的培训老师。所有老师都是取得CCIE相关认证和H3CTE认证。
金牌讲师都具有5年以上的大型网络工程经验,并有多年的教学经验。老师每天常驻实验室
指导,设身处地了解学员的需求,全程服务学员。我们的所有老师是学员在工作中强大的技
术支持后盾,是学员终身的朋友。
上为网络的独特的教学方法:
个人定制集中营式,面对面培训:上为网络采用个人定制的培训方式,入学之初由CCIE
讲师或H3CTE讲师给学员制定个人学习方案,严格按照培训进度表安排学习,在预计时间
内达到预定的培训效果,在考试冲刺阶段,更是让学生全身心投入。老师随时解决学员遇到
的挑战。专业、热忱的导师,和学员携手朝着制定的目标前进,以达到和提升学员理论知识
和实际工程能力。
ACL介绍
acl(accesscontrollists)是交换机实现的一种数据包过滤机制,通过
允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证
网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条
规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒
绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,
这样特定端口上特定方向的数据流就必须依照指定的acl规则进出交换机。
Access-list
access-list是一个有序的语句集,每一条语句对应一条特定的规则
(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。rule包含
的信息可以包括源mac、目的mac、源ip、目的ip、ip协议号、tcp端口等条件
的有效组合。根据不同的标准,access-list可以有如下分类:
1根据过滤信息:ipaccess-list(三层以上信息),macaccess-list
(二层信息),mac-ipaccess-list(二层以上信息)。
2根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式
可以指定更加细致过滤信息。
3根据命名方式:数字(numbered)和命名(named)。
对一条acl的说明应当从这三个方面加以描述。
Access-group
当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用
到不同端口的不同方向上。access-group就是对特定的一条access-list与特
定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后,流
经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交
换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对acl规则统计计
数器,以便统计流经端口的符合acl规则数据包的数量。
Access-list动作及全局默认动作
access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过
(deny)。具体有如下:
1在一个access-list内,可以有多条规则(rule)。对数据包的过滤
从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)
不再进行匹配。
2全局默认动作只对端口入口方向的ip包有效。对入口的非ip数据包
以及出口的所有数据包,其默认转发动作均为允许通过(permit)。
3只有在包过滤功能打开且端口上没有绑定任何的acl或不匹配任何绑
定的acl时才会匹配入口的全局的默认动作。
4当一条access-list被绑定到一个端口的出方向时,其规则(rule)
的动作只能为拒绝通过(deny)。
ACL配置任务序列
1.配置access-list
(1)配置数字标准ip访问列表
(2)配置数字扩展ip访问列表
(3)配置命名标准ip访问列表
a)创建一个命名标准ip访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
(4)配置命名扩展ip访问列表
a)创建一个命名扩展ip访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
(5)配置数字标准mac访问列表
(6)配置数字扩展mac访问列表
(7)配置命名扩展mac访问列表
a)创建一个命名扩展mac访问列表
b)指定多条permit或deny规则表项
c)退出mac访问表配置模式
(8)配置数字扩展mac-ip访问列表
(9)配置命名扩展mac-ip访问列表
a)创建一个命名扩展mac-ip访问列表
b)指定多条permit或deny规则表项
c)退出mac-ip访问表配置模式
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.配置时间范围功能
(1)创建时间范围名称
(2)配置周期性时段
(3)配置绝对性时段
4.将accessl-list绑定到特定端口的特定方向
5.清空指定接口的包过滤统计信息
1.配置access-list
(1)配置数字标准ip访问列表
(2)配置数字扩展ip访问列表
(3)配置命名标准ip访问列表
a.创建一个命名标准ip访问列表
b.指定多条permit或deny规则
c.退出命名标准ip访问列表配置模式
(4)配置命名扩展ip访问列表
a.创建一个命名扩展ip访问列表
b.指定多条permit或deny规则
c.退出命名扩展ip访问列表配置模式
(5)配置数字标准mac访问列表
(6)配置数字扩展mac访问列表
(7)配置命名扩展mac访问列表
a.创建一个命名扩展mac访问列表
b.指定多条permit或deny规则表项
c.退出mac访问表配置模式
(8)配置数字扩展mac-ip访问列表
(9)配置命名扩展mac-ip访问列表
a)创建一个命名扩展mac-ip访问列表
b)指定多条permit或deny规则表项
c)退出mac-ip访问表配置模式
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.配置时间范围功能
(1)创建时间范围名称
(2)配置周期性时段
(3)配置绝对性时段
4.将accessl-list绑定到特定端口的特定方向
5.清空指定接口的包过滤统计信息
access-list(mac-ipextended)
14access-list(mac-ipextended)
命令:
access-list[num]{deny|permit}{any-source-mac|
{host-source-mac[host_smac]}|{[smac][smac-mask]}}
{any-destination-mac|{host-destination-mac
[host_dmac]}|{[dmac][dmac-mask]}}icmp
{{[source][source-wildcard]}|any-source|{host-source[source-ho
st-ip]}}
{{[destination][destination-wildcard]}|any-destination|
{host-destination[destination-host-ip]}}[[icmp-type][[icmp-co
de]]]
[precedence[precedence]][tos[tos]][time-range[time-range-nam
e]]
access-list[num]{deny|permit}{any-source-mac|
{host-source-mac[host_smac]}|{[smac][smac-mask]}}
{any-destination-mac|{host-destination-mac
[host_dmac]}|{[dmac][dmac-mask]}}igmp
{{[source][source-wildcard]}|any-source|{host-source[source-ho
st-ip]}}
{{[destination][destination-wildcard]}|any-destination|
{host-destination[destination-host-ip]}}[[igmp-type]][preced
ence[precedence]]
[tos[tos]][time-range[time-range-name]]
access-list[num]{deny|permit}{any-source-mac|
{host-source-mac[host_smac]}|{[smac][smac-mask]}}{any-destinat
ion-mac|
{host-destination-mac[host_dmac]}|{[dmac][dmac-mask]}}tcp
{{[source][source-wildcard]}|any-source|
{host-source[source-host-ip]}}[s-port[port1]]
{{[destination][destination-wildcard]}|any-destination|{host-d
estination
[destination-host-ip]}}[d-port[port3]][ack+fin+psh+rst+urg+
syn][precedence
[precedence]][tos[tos]][time-range[time-range-name]]
access-list[num]{deny|permit}{any-source-mac|
{host-source-mac[host_smac]}|{[smac][smac-mask]}}{any-destinat
ion-mac|
{host-destination-mac[host_dmac]}|{[dmac][dmac-mask]}}udp
{{[source][source-wildcard]}|any-source|
{host-source[source-host-ip]}}[s-port[port1]]
{{[destination][destination-wildcard]}|any-destination|
{host-destination[destination-host-ip]}}[d-port[port3]]
[precedence[precedence]][tos[tos]][time-range[time-range-nam
e]]
access-list[num]{deny|permit}{any-source-mac|
{host-source-mac[host_smac]}|{[smac][smac-mask]}}
{any-destination-mac|{host-destination-mac
[host_dmac]}|{[dmac][dmac-mask]}}
{eigrp|gre|igrp|ip|ipinip|ospf|{[protocol-num]}}
{{[source][source-wildcard]}|any-source|{host-source[source-ho
st-ip]}}
{{[destination][destination-wildcard]}|any-destination|
{host-destination[destination-host-ip]}}[precedence[preceden
ce]][tos[tos]][time-range[time-range-name]]
功能:定义一条扩展数字mac-ipacl规则,no命令删除一个扩展数字
mac-ipacl访问表规则参数:access-list-number访问表号。这是一个从31
00-3199的十进制号;deny如果规则匹配,拒绝访问;permit如果规则匹配,
允许访问;any-source-mac:任何源mac地址;any-destination-mac:任何目
的mac地址;host_smac,smac:源mac地址;smac-mask:源mac地址的掩码
(反掩码);host_dmac,dmas目的mac地址;
dmac-mask目的mac地址的掩码(反掩码);protocol名字或ip协议的
号。它可以是关键字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tc
p,orudp,也可以是表ip协议号的0到255的一个整数。为了匹配任何int
ernet协议(包括icmp,tcp和udp)使用关键字ip。;
source-host-ip,source包发送的源网络或源主机号。32位二进制数,
点分十进制表示。
host-source:表示地址是源主机ip地址,否则是网络ip地址。;sou
rce-wildcard:源ip的掩码。用四个点隔开的十进制数表示的32位二进制数,
反掩码;destination-host-ip,destination包发送时要去往的目的网络或主
机号。32位二进制数,点分十进制表示;
host-source:表示地址是目的主机ip地址,否则是网络ip地址;des
tination-wildcard:
目的ip的掩码。用四个点隔开的十进制数表示的32位二进制数,反掩
码;s-port(可选):
表示要匹配tcp/udp源端口;port1(可选):tcp/udp源端口号值,端
口号是一个0到65535的数字;d-port(可选):表示要匹配tcp/udp目的端口;
port3(可选):tcp/udp目的端口号值,端口号是一个0到65535的数字;[ack]
[fin][psh][rst][urg][syn],(可选)只对tcp协议,可选多个标志位,
当tcp数据报[ack][fin][psh][rst][urg][syn]的相应位设置时,即初始
化tcp数据报以形成一个连接时出现匹配;precedence(可选)包可由优先级
过滤,为0到7的数字;tos(可选)包可由服务级类型过滤,为0到15的数
字;
icmp-type(可选)icmp包可由icmp报文类型过滤。类型是数字0到
255;icmp-code(可选)icmp包可由icmp报文码过滤。该代码是数字0到255;
igmp-type(可选)igmp包可由igmp报文类型或报文名过滤。类型是数字0到
15;[time-range-name],时间范围名称。
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:当用户第一次指定特定[num]时,创建此编号的acl,之后在
此acl中添加表项。
举例:允许源mac为00-12-34-45-xx-xx,任意目的mac地址,源ip
地址为:100.1.1.00.255.255.255,任意目的ip地址,且源端口是100,目的
端口是40000的tcp报文通过switch(config)#access-list3199permit00
-12-34-45-67-0000-00-00-00-ff-ffany-destination-mactcp100.1.1.0
0.255.255.255s-port100any-destinationd-port40000
15mac-ipaccessextended
命令:mac-ip-access-listextended[name]
nomac-ip-access-listextended[name]
功能:定义一个命名方式的mac-ipacl表或进入访问表配置模式,no
命令删除命名方式的acl表。
参数:name访问表的名字,不包括空格或引号,必须用字母字符开头。
长度最大为16(注:大小写敏感)
命令模式:全局配置模式
缺省情况:没有命名的mac-ip访问表
使用指南:第一次以调用此命令后,只是创建一个空的命名访问列表,
其中不包含任何表项。
举例:
创建一个名字为macip_acl的mac-ipacl
switch(config)#mac-ip-access-listextendedmacip_acl
switch(config-macip-ext-nacl-macip_acl)#
16permit|deny(mac-ipextended)
命令:
[no]{deny|permit}
{any-source-mac|{host-source-mac[host_smac]}|{[smac][smac-mas
k]}}{any-destination-mac|{host-destination-mac[host_dmac]}|{[dmac][dm
ac-mask]}}icmp{{[source][source-wildcard]}|any-source|{host-source[so
urce-host-ip]}}{{[destination][destination-wildcard]}|any-destination
|{host-destination[destination-host-ip]}}[[icmp-type][[icmp-code]]]
[precedence[precedence]][tos[tos]][time-range[time-range-name]]
[no]{deny|permit}
{any-source-mac|{host-source-mac[host_smac]}|{[smac][smac-mas
k]}}{any-destination-mac|{host-destination-mac[host_dmac]}|{[dmac][dm
ac-mask]}}igmp{{[source][source-wildcard]}|any-source|{host-source[s
ource-host-ip]}}{{[destination][destination-wildcard]}|any-destinatio
n|{host-destination[destination-host-ip]}}[[igmp-type]][precedence
[precedence]][tos[tos]][time-range[time-range-name]]
[no]{deny|permit}{any-source-mac|{host-source-mac[host_smac]}|
{[smac][smac-mask]}}{any-destination-mac|{host-destination-mac
[host_dmac]}|{[dmac][dmac-mask]}}tcp{{[source][source-wildcard]}|any-
source|{host-source[source-host-ip]}}[s-port[port1]]{{[destination][d
estination-wildcard]}|any-destination|{host-destination[destination
-host-ip]}}[d-port[port3]][ack+fin+psh+rst+urg+syn][precedenc
e[precedence]][tos[tos]][time-range[time-range-name]]
[no]{deny|permit}{any-source-mac|{host-source-mac[host_smac]}|
{[smac]
[smac-mask]}}{any-destination-mac|{host-destination-mac[host_d
mac]}|{[dmac][dmac-mask]}}udp{{[source][source-wildcard]}|any-source|
{host-source[source-host-ip]}}[s-port[port1]]{{[destination][destinat
ion-wildcard]}|any-destination|{host-destination[destination-host-i
p]}}[d-port[port3]][precedence[precedence]][tos[tos]][time-range
[time-range-name]]
[no]{deny|permit}{any-source-mac|{host-source-mac[host_smac]}
|{[smac][smac-mask]}}{any-destination-mac|{host-destination-ma
c[host_dmac]}|{[dmac][dmac-mask]}}{eigrp|gre|igrp|ip|ipinip|ospf|{[pr
otocol-num]}}{{[source][source-wildcard]}|any-source|{host-source[sou
rce-host-ip]}}{{[destination][destination-wildcard]}|any-destination|
{host-destination[destination-host-ip]}}[precedence[precedence]][t
os[tos]][time-range[time-range-name]]
功能:定义一条扩展命名mac-ipacl规则,no命令删除一个扩展数字
mac-ipacl访问表规则。
参数:access-list-number访问表号。这是一个从3100-3199的十进
制号;deny如果规则匹配,拒绝访问;permit如果规则匹配,允许访问;any
-source-mac:任何源mac地址;any-destination-mac:任何目的mac地址;h
ost_smac,smac:源mac地址;smac-mask:源mac地址的掩码(反掩码);hos
t_dmac,dmas目的mac地址;dmac-mask目的mac地址的掩码(反掩码);pr
otocol名字或ip协议的号。它可以是关键字eigrp,gre,icmp,igmp,igrp,
ip,ipinip,ospf,tcp,orudp,也可以是表ip协议号的0到255的一个
整数。为了匹配任何internet协议(包括icmp,tcp和udp)使用关键字ip。;
source-host-ip,source包发送的源网络或源主机号。32位二进制数,点分十
进制表示。;host-source:表示地址是源主机ip地址,否则是网络ip地址。;
source-wildcard:源ip的掩码。用四个点隔开的十进制数表示的32
位二进制数,反掩码;destination-host-ip,destination包发送时要去往的
目的网络或主机号。32位二进制数,点分十进制表示;host-source:表示地址
是目的主机ip地址,否则是网络ip地址;destination-wildcard:目的ip
的掩码。用四个点隔开的十进制数表示的32位二进制数,反掩码;s-port(可
选):表示要匹配tcp/udp源端口;port1(可选):tcp/udp源端口号值,端口
号是一个0到65535的数字;d-port(可选):表示要匹配tcp/udp目的端口;
port3(可选):tcp/udp目的端口号值,端口号是一个0到65535的数字;[ac
k][fin][psh][rst][urg][syn](可选)只对tcp协议,可选多个标志位,
当tcp数据报[ack][fin][psh][rst][urg][syn]的相应位设置时,即初始
化tcp数据报以形成一个连接时出现匹配;precedence(可选)包可由优先级
过滤,为0到7的数字;tos(可选)包可由服务级类型过滤,为0到15的数
字;icmp-type(可选)icmp包可由icmp报文类型过滤。类型是数字0到255;
icmp-code(可选)icmp包可由icmp报文码过滤。该代码是数字0到255;ig
mp-type(可选)igmp包可由igmp报文类型或报文名过滤。类型是数字0到1
5;[time-range-name],时间范围名称。
命令模式:命名扩展mac-ip访问列表配置模式
缺省情况:没有配置任何的访问列表。
使用指南:
举例:拒绝任意源mac地址及目的mac地址,任意源ip地址及目的i
p地址,且源端口是100,目的端口是40000的udp报文通过switch(config)
#access-list3100denyany-source-macany-destination-macudpany-sou
rces-port100any-destinationd-port40000
17time-range
命令:[no]time-range[time_range_name]
功能:创建一个名为time_range_name的时间范围名,并同时进入时
间范围模式。
参数:time_range_name时间范围名字,必须用字母字符开头,名字最
大长度为16个字符。
命令模式:全局配置模式
缺省情况:没有时间范围配置
使用指南:
举例:创建一个名为dc_timer的时间范围
switch(config)#timer-rangedc_timer
18absolute-periodic/periodic
命令:
[no]absolute-periodic{monday|tuesday|wednesday|thursday|frida
y|saturday|sunday}[start_time]to{monday|tuesday|wednesday|thursday|fr
iday|saturday|sunday}[end_time]
[no]periodic{{monday+tuesday+wednesday+thursday+friday+saturda
y+sunday}|daily|weekdays|weekend}[start_time]to[end_time]
功能:定义一周内的各种不同要求的时间范围,每周都循环这个时间。
参数:
fridayfriday(星期五)
mondaymonday(星期一)
saturdaysaturday(星期六)
sundaysunday(星期日)
thursdaythursday(星期四)
tuesdaytuesday(星期二)
wednesdaywednesday(星期三)
dailyeverydayoftheweek(每天)
weekdaysmondaythrufriday(星期一到星期五)
weekendsaturdayandsunday(星期六到星期日)
start_time开始时间点,hh:mm(小时:分钟)
end_time结束时间点,hh:mm(小时:分钟)
ATTENTION:time-range轮询时间是1分钟一次,所以时间的误差[=1
分钟。
命令模式:时间范围模式
缺省情况:没有时间范围配置
使用指南:周期性的时间和日期,周期是定义每周的1~6和周日的具
体时间段,可以同时配置多个周期性时段,它们之间是“或”的关系。它的形式
是:
day1hh:mm:sstoday2hh:mm:ss或者{[day1+day2+day3+day4+day5+
day6+day7]|weekend|weekdays|daily}hh:mm:sstohh:mm:ss
举例:使能在tuesday到saturday内的9:15:30到12:30:00时间段
内配置生效
switch(config)#time-rangedc_timer
switch(config-time-range)#absolute-periodictuesday9:15:30t
osaturday12:30:00
使能在monday、wednesday、friday和sunday四天内的14:30:00到1
6:45:00时间段配置生效
switch#(config-time-range)periodicmonday+wednesday+friday+su
nday14:30:00to16:45:00
19absolutestart
命令:[no]absolutestart[start_time][start_data][end[end_t
ime][end_data]]
功能:定义一个绝对时间段,这个时间段是根据本设备的时钟运行。
参数:start_time:开始时间点,hh:mm(小时:分钟)
end_time:结束时间点,hh:mm(小时:分钟)
start_data:开始日期,格式是,yyyy.mm.dd(年.月.日)
end_data:结束日期,格式是,yyyy.mm.dd(年.月.日)
ATTENTION:time-range轮询时间是1分钟一次,所以时间的误差[=1
分钟。
命令模式:时间范围模式
缺省情况:没有时间范围配置
使用指南:绝对时间及日期,指定具体开始的年,月,日,小时,分钟,
不能配置多个绝对时间及日期,重复配置时,后配置的覆盖以前配置的绝对时间
及日期。
举例:使能在2004.10.1到2005.1.26内从6:00:00到13:30:00配置
生效
switch(config)#time-rangedcn_timer
switch#(config-time-range)absolutestart6:00:002004.10.1e
nd13:30:002005.1.26
20clearaccess-groupstatistic
命令:clearaccess-groupstatistic[ethernet[interface-name]]
功能:清空指定接口的包过滤统计信息
参数:[interface-name]:接口名称
命令模式:全局配置模式
缺省情况:无
举例:清空接口e0/0/1的包过滤统计信息
switch(config)#clearaccess-groupstatistice0/0/1
ACL举例
案例1:
用户有如下配置需求:交换机的10端口连接10.0.0.0/24网段,管理
员不希望用户使用ftp。
配置更改:
1.创建相应的acl
2.配置包过滤功能
3.绑定acl到端口
配置步骤如下:
switch(config)#access-list110denytcp10.0.0.00.0.0.255any
-destinationd-port21
switch(config)#firewallenable
switch(config)#firewalldefaultpermit
switch(config)#interfaceethernet0/0/10
switch(config-ethernet0/0/10)#ipaccess-group110in
switch(config-ethernet0/0/10)#ex
switch(config)#ex
配置结果:
switch#showfirewall
firewallstatus:enable.
firewalldefaultrule:permit.
switch#showaccess-lists
access-list110(used1time(s))
access-list110denytcp10.0.0.00.0.0.255any-destinationd-
port21
switch#showaccess-groupinterfaceethernet0/0/10
interfacename:ethernet0/0/10
theingressacluseinfirewallis110.
案例2:
用户有如下配置需求:交换机的10端口连接的网段的mac地址是00-12
-11-23-xx-xx,并且不允许802.3的数据报文发出。
配置更改:
1、创建相应的macacl
2、配置包过滤功能
3、绑定acl到端口
配置步骤如下:
switch(config)#access-list1100deny00-12-11-23-00-0000-00-0
0-00-ff-ffanyuntagged-802.3
switch(config)#access-list1100deny00-12-11-23-00-0000-00-
00-00-ff-ffanytagged-802.3
switch(config)#firewallenable
switch(config)#firewalldefaultpermit
switch(config)#interfaceethernet0/0/10
switch(config-ethernet0/0/10)#ipaccess-group1100in
switch(config-ethernet0/0/10)#ex
switch(config)#ex
配置结果:
switch#showfirewall
firewallisenable
thedefaultactionoffirewallispermit
switch#showaccess-lists
access-list1100(used1time(s))
access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-
destination-macuntagged-802.3
access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-
destination-mactagged-802.3
switch#showaccess-group
interfacename:ethernet0/0/10
macingressaccess-listusedis1100.
案例3:
用户有如下配置需求:交换机的10端口连接的网段的mac地址是00-12
-11-23-xx-xx,并且ip为10.0.0.0/24网段,管理员不希望用户使用ftp,也
不允许外网ping此网段的任何一台主机。
配置更改:
1、创建相应的acl
2、配置包过滤功能
3、绑定acl到端口
配置步骤如下:
switch(config)#access-list3110deny00-12-11-23-00-0000-00-0
0-00-ff-ffanytcp10.0.0.00.0.0.255any-destinationd-port21
switch(config)#access-list3120denyany00-12-11-23-00-0000-
00-00-00-ff-fficmpany-source10.0.0.00.0.0.255
switch(config)#firewallenable
switch(config)#firewalldefaultpermit
switch(config)#interfaceethernet0/0/10
switch(config-ethernet0/0/10)#mac-ipaccess-group3110in
switch(config-ethernet0/0/10)#mac-ipaccess-group3120out
switch(config-ethernet0/0/10)#ex
switch(config)#ex
配置结果:
switch#showfirewall
firewallisenable
thedefaultactionoffirewallispermit
switch#showaccess-lists
access-list3120(used1time(s))
access-list3120denyany-source-mac00-12-11-23-00-0000-00-0
0-00-ff-fficmpany-source10.0.0.00.0.0.255
access-list3110(used1time(s))
access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffany-
destination-mactcp10.0.0.00.0.0.255any-destinationd-port21
switch#showaccess-group
interfacename:ethernet0/0/10
mac-ipingressaccess-listusedis3110.
mac-ipegressaccess-listusedis3120.
ACL调试和监测命令
1showaccess-lists
命令:showaccess-lists[[num]|[acl-name]]
功能:显示配置的访问控制列表。
参数:[acl-name],特定的访问控制列表命名字符串;[num],特定的
访问控制列表的编号。
缺省情况:无。
命令模式:特权模式
使用指南:不指定访问控制列表的名字时,会显示所有的访问控制列表;
usedxtime(s)表明了此acl被引用的次数。
举例:
switch#showaccess-lists
access-list10(used0time(s))
access-list10denyany-source
access-list100(used1time(s))
access-list100denyipany-sourceany-destination
access-list100denytcpany-sourceany-destination
access-list1100(used0time(s))
access-list1100permitany-source-macany-destination-mactag
ged-eth21420800
access-list3100(used0time(s))
access-list3100denyany-source-macany-destination-macudpa
ny-sources-port100any-destinationd-port40000
2showaccess-group
命令:showaccess-group[interface[ethernet][name]]
功能:显示端口上acl绑定情况。
参数:[name],接口名。
缺省情况:无。
命令模式:特权模式
使用指南:不指定接口名时,会显示所有端口上绑定的acl。
举例:
switch#showaccess-group
interfacename:ethernet0/0/2
theingressacluseinfirewallis111,packet(s)numberis10.
theegressacluseinfirewallis100,packet(s)numberis10.
interfacename:ethernet0/0/1
theingressacluseinfirewallis10,packet(s)numberis10.
3showfirewall
命令:showfirewall
功能:显示包过滤功能配置信息。
参数:无。
缺省情况:无。
命令模式:特权模式
使用指南:
举例:
switch#showfirewall
firewallisenable
thedefaultactionoffirewallispermit
4showtime-range
命令:showtime-range[word]
功能:显示时间范围功能配置信息。
参数:word指定要显示的time-range的名字
缺省情况:无。
命令模式:特权模式
使用指南:不指定time-range的名字时,显示所有的time-range
举例:
switch#showtime-range
time-rangetimer1(inactive)
absolute-periodicsaturday0:0:0tosunday23:59:59
time-rangetimer2(active)
absolute-periodicmonday0:0:0tofriday23:59:59
ACL排错帮助
1对acl中的表项的检查是自上而下的,只要匹配一条表项,对此acl
的检查就马上结束。
2端口特定方向上没有绑定acl或没有任何acl表项匹配时,才会使用
默认规则。
3每个端口入口可以绑定一条mac-ipacl,一条ipacl,一条macacl;
4每个端口出口口可以绑定一条mac-ipacl,一条ipacl,一条maca
cl;
5当同时绑定六条acl且数据包同时匹配其中多条acl时,优先关系从
高到低如下,如果优先级相同,则先配置的优先级高:
出口mac-ipacl;
出口macacl
出口ipacl
入口mac-ipacl
入口macacl
入口ipacl
6当一条acl被绑定到端口出口方向时,只能包含deny表项。
7只在master交换机上的接口支持绑定访问控制列表。
8端口可以成功绑定的acl数目取决于已绑定的acl的内容以及硬件
资源限制。
9如果access-list中包括过滤信息相同但动作矛盾的规则,则其无法
绑定到端口并将有报错提示。例如同时配置permittcpany-sourceany-desti
nation及denytcpany-sourceany-destination。
10可以配置acl拒绝某些icmp报文通过以防止“冲击波”等病毒攻击。
11对于堆叠交换机和dcs-3950s,则只能在入口绑定acl,不能在出口
绑定acl。
ACLBlock方式简介
由于硬件的限制,用普通的acl配置方法,很可能造成大量硬件资源的浪
费。而以block设置acl则极大的避免了这方面的资源浪费。
以block方式设置acl主要应用于同一个acl配置绑定到多个端口的
情况。
ACLBlock方式配置序列
将accessl-list以block方式绑定到端口列表的特定方向
将accessl-list以block方式绑定到端口列表的特定方向
ACLBlock方式配置命令
access-group{ip-acl|mac-acl|mac-ip-acl}
命令:
access-group{ip-acl|mac-acl|mac-ip-acl}{[access-list-number]
|[name]}{in|out}[traffic-statistic]interface{[ethernet][interface
list]}
noaccess-group{ip-acl|mac-acl|mac-ip-acl}{[access-list-numb
er]|[name]}{in|out}[traffic-statistic]
功能:在端口列表的某个方向上应用一条access-list,并且根据可选
项决定是否对acl规则加上统计计数器;本命令的no操作为删除绑定在端口列
表上的access-list。
参数:
[name],命名访问表的名字,字符串长度为1-16。
[access-list-number]访问表号,
命令模式:全局配置模式
缺省情况:端口列表的入口和出口方向都没有绑定acl。
使用指南:每种acl类型(ip-acl|mac-acl|mac-ip-acl)只能用block
方式指定一个
|
|
