思科交换机基础--11三层交换机ACL配置

时间:2024-05-20 17:06:26

思科三层交换机ACL配置

说明:ACL 主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。
ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置 ACL 的试验过程。

思科交换机基础--11三层交换机ACL配置
如图所示分别配置四台pc机的ip。
switch0配置
思科交换机基础--11三层交换机ACL配置
思科交换机基础--11三层交换机ACL配置

switch1配置
思科交换机基础--11三层交换机ACL配置
三层交换机配置

思科交换机基础--11三层交换机ACL配置

思科交换机基础--11三层交换机ACL配置
在第三层,输入:ip routing 开启路由功能。
思科交换机基础--11三层交换机ACL配置
测试连通性
思科交换机基础--11三层交换机ACL配置
1、ACL(标准列表)
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
2、ACL(扩展列表)
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。

  1. ACL标准访问列表格式
    思科交换机基础--11三层交换机ACL配置
  2. 设置好ACL命令后,要进入交换机某VLAN加载已设置好的命令。格式如下:
    interface VLAN号

思科交换机基础--11三层交换机ACL配置
举例:pc0 拒绝访问pc2,pc3
思科交换机基础--11三层交换机ACL配置
pc0的数据从vlan10进 在vlan3,vlan4端口出。

或者
思科交换机基础--11三层交换机ACL配置
测试连通性
思科交换机基础--11三层交换机ACL配置

ACL具体执行过程:

1、语句排序
一旦某条语句匹配,后续语句不再处理。
2、隐含拒绝
如果所有语句执行完毕没有匹配条目默认丢弃数据包要点:
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一
旦发现匹配,后续语句就不再进行处理—因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因
为每个ACL末尾都有隐藏的隐含拒绝语句。

思科交换机基础--11三层交换机ACL配置
思科交换机基础--11三层交换机ACL配置
举例:
允许win10-1访问linux的web服务
禁止win10-1访问linux的其他服务
允许win10访问win10-2主机
ACL扩展访问控制列表详解

思科交换机基础--11三层交换机ACL配置