2022年锐捷交换机交换机配置安全A .pdf-淘文阁

资源描述

《2022年锐捷交换机交换机配置安全A .pdf》由会员分享，可在线阅读，更多相关《2022年锐捷交换机交换机配置安全A .pdf（9页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、锐捷交换机交换机配置安全ACL 1配置 ACLs 的步骤l 通过申明一个ACL 的名字及为该ACL 创建 ACEs(每条 ACE 均由匹配条件和行为构成)来创建一条ACL。l 将该 ACL 应用于某一个交换机接口。2Standard(标准)或 Extended(扩展)IP ACLs 步骤 1 configure terminal 进入全局配置模式。步骤 2 ip access-list standard name 用数字或名字来定义一条Standard IP ACL 并进入 access-list 配置模式。步骤 3 deny source source-wildcard|host sourc

2、e|any or permit source source-wildcard|host source|anytime-range time-range-name 在特权配置模式，您可以通过如下步骤来创建一条Standard IP ACL 在 access-list 配置模式，申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。host source 代表一台源主机，其 source-wildcard 为 0.0.0.0。any 代表任意主机，即source 为 0.0.0.0，source-wild 为 255.255.255.255。time

3、-range-name(可选)名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 9 页 -指明关联的time-range 的名称步骤 4 end 退回到特权模式。步骤 5 show access-lists name 显示该接入控制列表，如果您不指定access-list 及 name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config 保存配置例：创建一条IP Standard Access-list（标准访问列表）该 ACL 名字 deny-host192.168.l2.x：包含两条ACE：第一条 ACE 拒绝来自192

4、.168.12.0 网段的任一主机，第二条 ACE 允许其它任意主机。同时将其应用到端口f 0/2 上Switch(config)#ip access-list standard deny-host192.168.l2.x Switch(config-std-nacl)#deny 192.168.12.0 0.0.0.255 any Switch(config-std-nacl)#permit any 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 9 页 -Switch(config-std-nacl)#end Switch#config t Switch(config)#in

5、terface FastEthernet 0/2 Switch(config-if)#ip access-group deny-host192.168.l2.x in Switch(config-if)#end Switch#show access-list 例：创建一条IP Extended Access-list（扩展访问列表）该 ACL 名字 allow_0 xc0a800_to_172.168.12.3 包含一条ACE，用于允许指定网络(192.168.x.x)的所有主机以HTTP 访问服务器172.168.12.3，但拒绝其它所有主机使用网络。Switch(config)#ip ac

6、cess-list extended allow_0 xc0a800_to_172.168.12.3 Switch(config-std-nacl)#permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch(config-std-nacl)#end Switch#show access-list 3MAC Extended ACLs配置 MAC Extended ACL 的过程，与配置IP 扩展 ACL 的配置过程是类似的。在特权配置模式，您可以通过如下步骤来创建一条MAC Extended ACL：步骤 1 conf

9、range-name(可选)指明关联的time-range 的名称步骤 4 end 退回到特权模式。步骤 5 show access-lists name 显示该接入控制列表，如果您不指定access-list 及 name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config 保存配置名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 9 页 -您可以用no mac access-list extended name 全局配置命令来删除整条MAC 扩展 ACL。您也可以单独删除指定ACL 中的某一条或某几条ACE。里显示如何

10、创建及显示一条MAC Extended ACL，以名字 macext 来命名之。该 MAC 扩展ACL 拒绝所有符合指定源MAC 地址的 aarp 报文。Switch(config)#mac access-list extended macext Switch(config-ext-macl)#deny host 00d0.f800.0000 any aarp Switch(config-ext-macl)#permit any any Switch(config-ext-macl)#end Switch#config t Switch(config)#interface GigabitEth

11、ernet 2/1 Switch(config-if)#mac access-group macext in Switch(config-if)#end Switch#show access-lists macext Extended MAC access list macext deny host 00d0.f800.0000 any aarp permit any any 4基于时间的ACLs 应用你可以使ACLs 基于时间进行运行，比如是ACL 例：以 ACLs 应用为例，说明如何在每周工作时间段内禁止HTTP 的数据流：Switch(config)#time-range no-http

12、名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 9 页 -Switch(config-time-range)#periodic weekdays 8:00 to 18:00 Switch(config)#end Switch(config)#ip access-list extended limit_udp Switch(config-ext-nacl)#deny tcp any any eq www time-range no-http Switch(config)#end Switch(config-ext-nacl)#exit Switch(config)#interfa

13、ce fastethernet0/1 Switch(config-if)#ip access-group limit_udp in 下面为 time-range 的显示范例:Switch#show time-range time-range name:no-http periodic Weekdays 8:00 to 18:00 time-range name:no-udp periodic Tuesday 15:30 to 16:30 5Expert Extended ACLs专家级 ACL 为您提供了更强的组合过滤条件，使您更有效地限制网络使用者：1 可以实现对VLAN/网段的过滤，限制某

14、些网络只能使用特定的应用，比如禁止学生自习时间在教室里玩网络游戏，只要给教室分配一个网段，对这个网段应用ACL，在这个时间段禁止网络游戏报文的传输即可。2 可以对以IP+MAC 绑定的用户进行网络资源使用限制。例：创建及显示一条Expert Extended ACL，以名字expert 来命名之。该专家ACL 拒绝源IP 地址为192.168.12.3 并且源MAC 地址为00d0.f800.0044 的所有TCP 报文。tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 9 页

15、-Switch(config)#expert access-list extended expert Switch(config-ext-macl)#deny tcp host 192.168.12.3 host 00d0.f800.0044 any any Switch(config-ext-macl)#permit any any any any Switch(config-ext-macl)#end Switch#show access-lists expert Extended expert access list expert deny tcp host 192.168.12.3 h

16、ost 00d0.f800.0044 any any permit any any any any 6验证命令例：显示名字为ip_acl 的 Standard IP access-lists 的内容：Switch#show ip access-lists ip_acl Standard ip access list ip_acl Permit host 192.168.12.1 Permit host 192.168.11.1 例：显示名字为ip_ext_acl 的 Extended IP access-lists 的内容：Switch#show ip access-lists ip_ext_

17、acl Extended ip access list ip_ext_acl 名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 9 页 -permit tcp 192.168.0.0 255.255.0.0 host 192.168.1.1 eq www permit tcp 192.167.0.0 255.255.0.0 host 192.168.1.1 eq www 例：显示所有IP access-lists 的内容：Switch#show ip access-lists Standard ip access list ip_acl Permit host 192.168.12

18、.1 Permit host 192.168.11.1 Extended ip access list ip_ext_acl permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq www permit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eq www 例：显示所有access lists 的内容：Switch#show access-lists Standard ip access list ip_acl Permit host 192.168.12.1 Permit host 192

19、.168.11.1 Extended ip access list ip_ext_acl permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq www permit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eq www Extended MAC access list macext deny host 00d0.f800.0000 any aarp 名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 9 页 -permit any any 例：显示在百兆接口1 上的 mac ex

20、tended access-list：Switch#show mac access-group interface FastEthernet 0/1 Interface FastEthernet 0/1:Inbound access-list is mac_ext 以下例子显示所有接口配置的mac ACLs:Switch#show mac access-group Interface FastEthernet 0/1:Inbound access-list is mac_ext Interface FastEthernet 0/2:Inbound access-list is not set Interface FastEthernet 0/3:Inbound access-list is not set Interface GigabitEthernet 1/1:Inbound access-list is not set Interface GigabitEthernet 2/1:Inbound access-list is not set 该文章转自大赛人网站(技能大赛技术资源网)-DasaiR 原文链接：http:/ 名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 9 页 -

展开阅读全文