思科交换机ACL的设置装备摆设(转载)

4个月前 (11-27 23:24)阅读3回复0
lrj
lrj
  • 管理员
  • 注册排名2
  • 经验值143810
  • 级别管理员
  • 主题28762
  • 回复0
楼主

  在凡是的收集治理中,我们都期看容许一些毗连的拜候,而制止另一些毗连的拜候,但许多平安东西欠缺收集治理所需的根本通信流量过滤的乖巧性和特定的掌握手 段。三层交换机功用强大,有多种治理收集的手段,它有内置的ACL(拜候掌握列表),因而我们可操纵ACL(拜候掌握列表)掌握Internet的通信流 量。以下是我们利BT无线收集破解教程用联想的三层交换机3508GF来实现ACL功用的过程。 操纵原则ACL掌握收集拜候 当我们要想阻遏来自某一收集的所有通信流量,或者容许来自某一特定收集的所有通信流量,或者想要回绝某一协议簇的所有通信流量时,能够利用原则拜候掌握列 表来实现那一目标。原则拜候掌握列表查抄数据包的源地址,从而容许或回绝基于收集、子网或主机IP地址的所有通信流量通过交换机的出口。 原则ACL的设置装备摆设语句为: Switch#access-list access-list-number(1~99) {permit|deny}{anyA|source[source-wildcard-mask]}{a ny|destination[destination-mask]} 例1:容许192.168.3.0收集上的主机停止拜候: Switch#access-list 1 permit 192.168.3.0 0.0.0.255 例2:制止172.10.0.0收集上的主机拜候: Switch#access-list 2 deny 172.10.0.0 0.0.255.255 例3:容许所有IP的拜候: Switch#access-list 1 permit 0.0.0.0 255.255.255.255 例4:制止192.168.1.33主机的通信: Switch#access-list 3 deny 192.168.1.33 0.0.0.0 上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表达“查抄响应的位”,1表达“不查抄响应的位”。如表达33.0.0.0那个网段,利用通配符掩码应为0.255.255.255。 操纵扩展ACL掌握收集拜候 扩展拜候掌握列表既查抄数据包的源地址,也查抄数据包的目标地址,还查抄数据包的特定协议类型、端标语等。扩展拜候掌握列表更具有乖巧性和可扩大性,即能够对统一地址容许利用某些协议通信流量通过,而回绝利用其它协议的流量通过,可乖巧多变的设想ACL的测试前提。 扩展ACL的完全号令格局如下: Switch#access-list access-list-number(100~199) {permit|deny} protocol{any|source[source-mask]}{any|destination[ destination-mask]}[port-number] 例1:回绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0: Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 例2:阻遏子网192.168.5.0 拜候Internet( 培训测验 认证培训

0
回帖

思科交换机ACL的设置装备摆设(转载) 期待您的回复!

取消