文档介绍:锐捷交换机交换机配置安全ACL
1.配置ACLs 的步骤
l 通过申明一个ACL 的名字及为该ACL 创建ACEs(每条ACE 均由匹配条件和行为构成)来创建一条ACL。
l 将该ACL 应用于某一个交换机接口。
2.Standard (标准) 或Extended(扩展)IP ACLs
步骤1 configure terminal
进入全局配置模式。
步骤2 ip access-list standard { name}
用数字或名字来定义一条Standard
IP ACL 并进入access-list 配置
模式。
步骤3 deny {source source-wildcard|host source|any}
or
permit {source source-wildcard|host source|any}[time-range time-range-name]
在特权配置模式,您可以通过如下步骤来创建一条Standard IP ACL
在access-list 配置模式,申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。
􀁺 host source 代表一台源主机,
其source-wildcard 。
􀁺 any 代表任意主机,即source
,source-wild 。
􀁺 time-range-name(可选)
指明关联的time-range 的名称
步骤4 end
退回到特权模式。
步骤5 show access-lists [name]
显示该接入控制列表,如果您不指定access-list 及name 参数,则显示所有接入控制列表。
步骤6 copy running-config startup-config
保存配置
例:创建一条IP Standard Access-list(标准访问列表)
该ACL 名字deny-:包含两条ACE:
第一条ACE 网段的任一主机,
第二条ACE 允许其它任意主机。
同时将其应用到端口f 0/2上
Switch(config)# ip access-list standard deny-
Switch(config-std-nacl)# deny any
Switch(config-std-nacl)# permit any
Switch(config-std-nacl)# end
Switch# config t
Switch(config)# interface FastEthernet 0/2
Switch (config-if)# ip access-group deny- in
Switch(config-if)#end
Switch # show access-list
例:创建一条IP Extended Access-list(扩展访问列表)
该ACL 包含一条ACE,
用于允许指定网络(..x)的所有主机以HTTP ,但拒绝其它所有主机使用网络。
Switch(config)# ip access-list extended
Switch(config-std-nacl)# permit tcp host eq
Switch(config-std-nacl)#end
Switch # show access-list
3.MAC Extended ACLs
配置MAC Extended ACL 的过程,与配置IP 扩展ACL 的配置过程是类似的。
在特权配置模式,您可以通过如下步骤来创建一条MAC Extended ACL:
步骤