日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

交換機的ACL配置練習(xí)

云知道

在通常的網(wǎng)絡(luò)治理中,我們都希望答應(yīng)一些連接的訪問,而禁止另一些連接的訪問,但許多安全工具缺乏網(wǎng)絡(luò)治理所需的基本通信流量過濾的靈活性和特定的控制手段 。三層交換機功能強大,有多種治理網(wǎng)絡(luò)的手段,它有內(nèi)置的ACL(訪問控制列表),因此我們可利用ACL(訪問控制列表)控制Internet的通信流量 。以下是我們利用聯(lián)想的三層交換機3508GF來實現(xiàn)ACL功能的過程 。
利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問
當(dāng)我們要想阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者答應(yīng)來自某一特定網(wǎng)絡(luò)的所有通信流量,或者想要拒絕某一協(xié)議簇的所有通信流量時,可以使用標(biāo)準(zhǔn)訪問控制列表來實現(xiàn)這一目標(biāo) 。標(biāo)準(zhǔn)訪問控制列表檢查數(shù)據(jù)包的源地址,從而答應(yīng)或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機IP地址的所有通信流量通過交換機的出口 。
標(biāo)準(zhǔn)ACL的配置語句為:
Switch#Access-list access-list-number(1~99) {permitdeny}{anyAsource[source-wildcard-mask]}{anydestination[destination-mask]}
例1:答應(yīng)192.168.3.0網(wǎng)絡(luò)上的主機進(jìn)行訪問:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0網(wǎng)絡(luò)上的主機訪問:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:答應(yīng)所有IP的訪問:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主機的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的0.0.0.255和0.0.255.255等為32位的反掩碼,0表示“檢查相應(yīng)的位”,1表示“不檢查相應(yīng)的位” 。如表示33.0.0.0這個網(wǎng)段,使用通配符掩碼應(yīng)為0.255.255.255 。
利用擴展ACL控制網(wǎng)絡(luò)訪問
擴展訪問控制列表既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等 。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址答應(yīng)使用某些協(xié)議通信流量通過,而拒絕使用其它協(xié)議的流量通過,可靈活多變的設(shè)計ACL的測試條件 。
擴展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permitdeny} protocol{anysource[source-mask]}{anydestination[destination-mask]}[port-number]
例1:拒絕交換機所連的子網(wǎng)192.168.3.0 ping通另一子網(wǎng)192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子網(wǎng)192.168.5.0 訪問Internet(www服務(wù))而答應(yīng)其它子網(wǎng)訪問:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或?qū)憺椋篠witch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
例3:答應(yīng)從192.168.6.0通過交換機發(fā)送E-mail,而拒絕所有其它來源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
基于端口和VLAN的ACL訪問控制
標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表的訪問控制規(guī)則都是基于交換機的,假如僅對交換機的某一端口進(jìn)行控制,則可把這個端口加入到上述規(guī)則中 。
配置語句為:
Switch# acess-list port 【交換機的ACL配置練習(xí)】
例:對交換機的端口4,拒絕來自192.168.3.0網(wǎng)段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到規(guī)則1中 。
基于VLAN的訪問控制列表是基于VLAN設(shè)置簡單的訪問規(guī)則,也設(shè)置流量控制,來答應(yīng)(permit)或拒絕(deny)交換機轉(zhuǎn)發(fā)一個VLAN的數(shù)據(jù)包 。
配置語句:
Switch#acess-list vlan [denypermit]
例:拒絕轉(zhuǎn)發(fā)vlan2中的數(shù)據(jù):
Switch# access-list vlan2 deny
另外,我們也可通過顯示命令來檢查已建立的訪問控制列表,即
Switch# show access-list
例:
Switch# show access-list //顯示ACL列表;

推薦閱讀