层交换机访问控制列表ACL的配置.ppt-淘文阁

资源描述

《层交换机访问控制列表ACL的配置.ppt》由会员分享，可在线阅读，更多相关《层交换机访问控制列表ACL的配置.ppt（89页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、企业网综合实战三层交换机三层交换机访问列表访问列表ACLACL的配置的配置企业网综合实战ACL是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。运行。ACL是一个有序的语句集，每一条语句对应一条特定的规则是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条每条rule包括了过滤信息及匹配此包括了过滤信息及匹配此rule时应采取的动作。时应采取的动作。Rule包含包含的信息可以包括源的信息可以包括源MAC

2、、目的、目的MAC、源、源IP、目的、目的IP、IP协议号、协议号、tcp端口等条件的有效组合。端口等条件的有效组合。根据不同的标准，根据不同的标准，ACL可以有如下分类：可以有如下分类：根据过滤信息：根据过滤信息：ipaccess-list（三层以上信息），（三层以上信息），macaccess-list（二（二层信息），层信息），mac-ipaccess-list（二层以上信息）。（二层以上信息）。根据配置的复杂程度：标准根据配置的复杂程度：标准(standard)和扩展和扩展(extended)，扩展方式，扩展方式可以指定更加细致过滤信息。可以指定更加细致过滤信息。根据命名方式：数字根据命

3、名方式：数字(numbered)和命名和命名(named)企业网综合实战IPACL（1）配置数字标准）配置数字标准IP访问列表访问列表（2）配置数字扩展）配置数字扩展IP访问列表访问列表（3）配置命名标准）配置命名标准IP访问列表访问列表（4）配置命名扩展配置命名扩展IP访问列表访问列表MACACL（1）配置数字标准）配置数字标准MAC访问列表访问列表（2）配置数字扩展）配置数字扩展MAC访问列表访问列表（3）配置命名扩展）配置命名扩展MAC访问列表访问列表MAC-IP（1）配置数字扩展）配置数字扩展MAC-IP访问列表访问列表（2）配置命名扩展）配置命名扩展MAC-IP访问列表访问列表企业网

4、综合实战IP访问列表类型访问列表类型命名标准命名标准IP IP 访问列表访问列表命名扩展命名扩展IP IP 访问列表访问列表数字数字标准标准IP IP 访问列表访问列表数字扩展数字扩展IP IP 访问列表访问列表基于时间的访问列表基于时间的访问列表企业网综合实战配置命名标准配置命名标准IP访问列表的步骤访问列表的步骤创建一个命名标准创建一个命名标准IP访问列表访问列表指定多条指定多条permit或或deny规则规则开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个命名标准创建一个命名标准IP访问

5、列表访问列表命令：命令：ipaccess-liststandard说明：说明：name为访问列表的名字，字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例：创建一个名为举例：创建一个名为test的标准的标准IP访问列表访问列表ipaccess-liststandardtest企业网综合实战指定多条指定多条permit或或deny规则规则命令：命令：deny|permit|any-source|host-source说明：说明：sIpAddr为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。举例：允许源地址为的数据包通

6、过，拒绝源地址为的举例：允许源地址为的数据包通过，拒绝源地址为的数据包通过。数据包通过。Permit192.168.10.0企业网综合实战开启交换机的包过滤功能开启交换机的包过滤功能相关命令：相关命令：Firewallenable作用：开启交换机的包过滤功能（即防火墙功能）作用：开启交换机的包过滤功能（即防火墙功能）Firewalldisable作用：关闭交换机的包过滤功能作用：关闭交换机的包过滤功能说明说明在允许和禁止防火墙时，都可以设置访问规则。但只有在防在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上；火墙起作用时才可以将规则应用至特

7、定端口的特定方向上；使防火墙不起作用后将删除端口上绑定的所有使防火墙不起作用后将删除端口上绑定的所有ACL。企业网综合实战设置包过滤的默认动作设置包过滤的默认动作相关命令：相关命令：Firewalldefaultpermit作用：设置其默认动作为允许作用：设置其默认动作为允许Firewalldefaultdeny作用：设置其默认动作为拒绝作用：设置其默认动作为拒绝说明说明此命令只影响端口入口方向的此命令只影响端口入口方向的IP包，其余情况包，其余情况下数据包均可通过交换机。下数据包均可通过交换机。企业网综合实战将访问列表应用到指定端口将访问列表应用到指定端口命令：命令：InterfaceIpa

8、ccess-groupin|out作用：在端口的某个方向上应用一条作用：在端口的某个方向上应用一条access-list说明说明一个端口可以绑定一条入口规则和一条出口规则；一个端口可以绑定一条入口规则和一条出口规则；ACL绑定到出口时只能包含绑定到出口时只能包含deny规则；规则；如果是堆叠交换机，则只能在入口绑定如果是堆叠交换机，则只能在入口绑定ACL，不能在出口，不能在出口绑定绑定ACL。企业网综合实战总结：总结：对对ACL中的表项的检查是自上而下的，只要匹配一条表项，中的表项的检查是自上而下的，只要匹配一条表项，对此对此ACL的检查就马上结束。的检查就马上结束。端口特定方向上没有绑定端口

9、特定方向上没有绑定ACL或没有任何或没有任何ACL表项匹配时，表项匹配时，才会使用默认规则。才会使用默认规则。每个端口入口和出口可以各绑定一条每个端口入口和出口可以各绑定一条IPACL。当一条当一条ACL被绑定到端口出口方向时，只能包含被绑定到端口出口方向时，只能包含deny表项。表项。可以配置可以配置ACL拒绝某些拒绝某些ICMP报文通过以防止报文通过以防止“冲击波冲击波”等等病毒攻击。病毒攻击。对于堆叠交换机，则只能在入口绑定对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定，不能在出口绑定ACL。企业网综合实战标准访问列表应用举例标准访问列表应用举例要求：要求：PC1(192.168

10、.10.1)不能访问服务器不能访问服务器server1(192.168.20.1)和和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。可以访问。PC1接在端口接在端口1上，上，PC2接在端口接在端口2上；上；server1接在端口接在端口23上，上，server2接在端口接在端口24上。上。企业网综合实战switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#exit#inte0/0/23#ipaccess-grouppc1toserver1outSwitch(config)#ipacces

11、s-liststandardpc1toserver2#exit#inte0/0/24#ipaccess-grouppc1toserver2out企业网综合实战配置命名扩展配置命名扩展IP访问列表的步骤访问列表的步骤创建一个命名扩展创建一个命名扩展IP访问列表访问列表指定多条指定多条permit或或deny规则规则开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个命名扩展创建一个命名扩展IP访问列表访问列表命令：命令：ipaccess-listextended说明：说明：name为访问列表的名字，

12、字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例：创建一个名为举例：创建一个名为test的扩展的扩展IP访问列表访问列表ipaccess-listextendedtest企业网综合实战指定多条指定多条permit或或deny规则规则命令（过滤命令（过滤ICMP数据包）数据包）：deny|permiticmp|any-source|host-source|any-destination|host-destinationprecedencetostimerange说明说明，icmp的类型，的类型，0255；，icmp的协议编号，的协议

13、编号，0255；，IP优先级，优先级，07；，tos值，值，0-15time-range-name，时间范围名称。，时间范围名称。企业网综合实战指定多条指定多条permit或或deny规则规则命令（过滤命令（过滤IGMP数据包）数据包）：deny|permitigmp|any-source|host-source|any-destination|host-destinationprecedencetostime-range说明说明，igmp的类型，的类型，0-255企业网综合实战指定多条指定多条permit或或deny规则规则命令（过滤命令（过滤TCP数据包）数据包）：deny|permitt

16、cess-listextendedudpFlow#denyigmpany-sourceany-destination#permitudpany-sourcehost-destination192.168.0.1dPort32企业网综合实战命名扩展命名扩展IP访问列表应用举例访问列表应用举例要求：要求：1.允许允许PC1访问访问server的的Telnet服务，但不能服务，但不能ping通它；通它；2.拒绝拒绝PC2访问访问server的的Telnet服务，但能服务，但能ping通它。通它。企业网综合实战在在5526交换机上进行配置交换机上进行配置Ipaccess-listextendedpc1

17、toserverPermittcp192.168.100.0host-destination192.168.10.254dport23Denyicmphost-source192.168.100.1host-destination192.168.10.254Ipaccess-listextendedpc2toserverdenyicmpPermittcphost-source192.168.100.1host-destination192.168.10.254FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-grouppc1t

18、oserverinInterfacee0/0/2Ipaccess-grouppc2toserverin企业网综合实战配置数字标准配置数字标准IP访问列表的步骤访问列表的步骤创建一个数字标准创建一个数字标准IP访问列表，并指定访问列表，并指定permit或或deny规则规则开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个数字标准创建一个数字标准IP访问列表访问列表命令：命令：access-listdeny|permit|any-source|host-source说明：说明：num为访问列表的数

19、字编号，取值为访问列表的数字编号，取值199。sIpAddr为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。如果已有此访问列表，则增加一条规则。如果已有此访问列表，则增加一条规则。举例：创建一个编号为举例：创建一个编号为1的标准的标准IP访问列表，允许访问列表，允许网段的数据通过。网段的数据通过。access-list1permit192.168.1.00.0.0.255企业网综合实战数字标准访问列表应用举例数字标准访问列表应用举例要求：要求：PC1(192.168.10.1)不能访问服务器不能访问服务器server1(192.168.20.1)和和server2(192.1

20、68.20.2)，PC2(192.168.10.2)可以访问。可以访问。PC1接在端口接在端口1上，上，PC2接在端口接在端口2上；上；server1接在端口接在端口23上，上，server2接在端口接在端口24上。上。企业网综合实战switch#confSwitch(config#exit#inte0/0/23#ipaccess-group1outSwitch(config)#access#exit#inte0/0/24#ipaccess-group2out企业网综合实战配置数字扩展配置数字扩展IP访问列表的步骤访问列表的步骤创建一个数字扩展创建一个数字扩展IP访问列表，并指定访问列表，并指

21、定permit或或deny规则规则开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个数字标准创建一个数字标准IP访问列表访问列表命令：命令：access-listdeny|permit说明：说明：num为访问列表的数字编号，取值为访问列表的数字编号，取值100199。sIpAddr为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。如果已有此访问列表，则增加一条规则。如果已有此访问列表，则增加一条规则。举例：创建一个编号为举例：创建一个编号为101的扩展的扩展IP访问列表，允许网段

22、的访问列表，允许网段的主机访问主机访问ftp服务器服务器。access-list101permittcphost-destination202.10.1.2dport21企业网综合实战数字扩展数字扩展IP访问列表应用举例访问列表应用举例要求：要求：1.允许允许PC1访问访问server的的Telnet服务，但不能服务，但不能ping通它；通它；2.拒绝拒绝PC2访问访问server的的Telnet服务，但能服务，但能ping通它。通它。企业网综合实战在在5526交换机上进行配置交换机上进行配置access-list101permittcp192.168.100.0host-destinatio

23、n192.168.10.254dport23access-list101denyicmphost-source192.168.100.1host-destination192.168.10.254access-list102denyicmpaccess-list102permittcphost-source192.168.100.1host-destination192.168.10.254FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-group101inInterfacee0/0/2Ipaccess-group102in

24、企业网综合实战基于时间的访问控制列表基于时间的访问控制列表概述概述可以根据一天中的不同时间，或者根据一个星期可以根据一天中的不同时间，或者根据一个星期中的不同日期，或者二者相结合，来控制对网络中的不同日期，或者二者相结合，来控制对网络数据包的转发。数据包的转发。实现基于时间的访问列表的操作步骤实现基于时间的访问列表的操作步骤1.定义一个时间范围定义一个时间范围2.在访问列表中引用时间范围在访问列表中引用时间范围企业网综合实战基于时间的访问控制列表的配置基于时间的访问控制列表的配置第一步：时间范围命名第一步：时间范围命名time-range第二步：定义具体的时间范围第二步：定义具体的时间范围定义

27、合某一天或某几天的结合daily每天每天weekdays从星期一到星期五从星期一到星期五weekend星期六和星期日星期六和星期日5.确保交换机时钟设置准确确保交换机时钟设置准确6.开始时间必须小于结束时间开始时间必须小于结束时间企业网综合实战举例：举例：1.使使Tuesday的的9:15:30到到Saturday的的12:30:00时间段内配置时间段内配置生效生效Switch(Config)#time-rangedc_timerSwitch(Config-Time-Range)#absolute-periodicTuesday9:15:30toSaturday.12:30:002.使使Mon

28、day、Wednesday、Friday和和Sunday四天内的四天内的14:30:00到到16:45:00时间段配置生效时间段配置生效Switch(Config-Time-Range)#periodicMondayWednesdayFridaySunday14:30:00to16:45:00企业网综合实战基于时间访问列表应用举例基于时间访问列表应用举例要求：要求：1.限制限制网段的主机只能在网段的主机只能在2007年年6月月1日至日至2008年年12月月31日内的星期六的早上日内的星期六的早上7:00到星期日的下午到星期日的下午5:00进行进行WWW访问。访问。企业网综合实战Route-co

29、nfig#time-rangeallow-wwwRoute-config-time-range#absolutestart7:00:002007.6.1end17:00:002008.12.31Route-config-time-range#periodicweekend7:00:00to17:00:00Route-config#ipaccess-listextendedtimeaclRoute-config-ext-nacl#permittcp192.168.1.00.0.0.255any-destinationdport80time-rangeallow-wwwRoute-config#f

30、irewallenableRoute-config#firewalldefaultpermitRoute-config#intE0/0/1Route-config-f0/1#ipaccess-grouptimeaclin企业网综合实战第五次实验第五次实验ACL配置（一）配置（一）实验目的实验目的1.理解理解ACL的作用的作用2.掌握交换机的命名标准掌握交换机的命名标准ACL和命名扩展和命名扩展ACL的配置的配置方法方法3.掌握交换机的数字标准掌握交换机的数字标准ACL和数字扩展和数字扩展ACL的配置的配置方法方法实验内容实验内容见见交换机实验交换机实验中的实验三十一、三十二。中的实验三十一、三

31、十二。企业网综合实战实验三十一实验三十一标准标准ACL配置配置PC1和和PC2通过交换机通过交换机A连连到到Server（假设为（假设为telnet服服务器）。务器）。要求：要求：不配置不配置ACL时，时，PC1和和PC2都可访问都可访问server；配置配置ACL后，后，PC1和和PC2都不能访问都不能访问server。只有更。只有更改了改了IP地址后才可访问；地址后才可访问；企业网综合实战Ipaccess-liststandardtest为什么会有下列结果？为什么会有下列结果？PC端口端口Ping结果结果Pc1:192.168.100.110/0/110.1.1.1不通不通Pc1:192.

32、168.100.120/0/110.1.1.1不通不通Pc2:192.168.200.220/0/910.1.1.1不通不通Pc2:192.168.200.120/0/910.1.1.1通通企业网综合实战实验三十二实验三十二扩展扩展ACL配置配置PC1和和PC2通过交换机通过交换机A连连到到Server（假设为（假设为telnet服服务器）。务器）。要求：要求：不配置不配置ACL时，时，PC1和和PC2都可访问都可访问server；配置配置ACL后，后，PC2不能访不能访问问server。只有更改了。只有更改了IP地地址后才可访问；址后才可访问；企业网综合实战Ipaccess-listexte

33、ndedtestDenytcphost-source192.168.200.22host-destination10.1.1.1dport23为什么会有下列结果？为什么会有下列结果？PC端口端口telnet结果结果Pc1:192.168.100.110/0/110.1.1.1通通Pc2:192.168.200.220/0/910.1.1.1不通不通Pc2:192.168.200.120/0/910.1.1.1通通企业网综合实战第六次实验第六次实验ACL配置（二）配置（二）实验目的实验目的进一步熟悉和掌握交换机的进一步熟悉和掌握交换机的ACL配置。配置。实验内容实验内容见交换实验指导实验三十三、

34、三十四见交换实验指导实验三十三、三十四企业网综合实战实验三十三实验三十三单向访问控制的实现单向访问控制的实现PC1和和PC2通过交换机通过交换机A相相连。连。要求：要求：不配置不配置ACL时，时，PC1和和PC2可以互访；可以互访；配置配置ACL后，后，PC1可以访可以访问问PC2，但，但PC2不能访问不能访问PC1（如（如ping）。）。企业网综合实战Ipaccess-listextendedtestDenyicmphost-source192.168.200.22host-destination192.168.100.118Inte0/0/1Ipaccess-grouptestin企业网综

35、合实战实验三十四实验三十四配置访问列表过滤病毒配置访问列表过滤病毒目的目的了解病毒的工作原理，掌握常见病毒的特征；了解病毒的工作原理，掌握常见病毒的特征；掌握过滤病毒的方法掌握过滤病毒的方法要求要求通过配置，使交换机能隔离病毒。通过配置，使交换机能隔离病毒。企业网综合实战病毒运行时会不停地利用病毒运行时会不停地利用IP扫描技术寻找网扫描技术寻找网络上系统的漏洞进行攻击，一旦攻击成功，络上系统的漏洞进行攻击，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、文件丢失或被破坏、不停使系统操作异常、文件丢失或被破坏、不停重启、甚至导致系统崩

36、溃等。重启、甚至导致系统崩溃等。病毒常会利用病毒常会利用135、139、69、4444、445等等端口。端口。企业网综合实战第一步：创建第一步：创建aclipaccess-listextendedantivirus第二步：制定过滤规则第二步：制定过滤规则/禁禁pingdenyicmpany-sourceany-destination/用于控制用于控制Blaster蠕虫的传播蠕虫的传播denyudpany-sourceany-destinationd-port69denytcpany-sourceany-destinationd-port4444/用于控制冲击波病毒的扫描和攻击用于控制冲击波病毒

37、的扫描和攻击denytcpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port137denyudpany-sourceany-destinationd-porteq138denytcpany-sourceany-destinationd-port139denyudpany-sourceany-destinationd-port139企业网综合实战denytcpany-sourceany-destinationd-port4

38、45denyudpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port5554denytcpany-sourceany-destinationd-port9995denytcpany-sourceany-destinationd-port9996启用防火墙功能，并配置默认规则启用防火墙功能，并配置默认规则FirewallenableFirew

39、alldefaultpermit将将ACL应用于端口应用于端口Ipaccess-groupantivirusin企业网综合实战MAC访问列表类型访问列表类型数字标准数字标准MAC访问列表访问列表数字扩展数字扩展MAC访问列表访问列表命名扩展命名扩展MAC访问列表访问列表企业网综合实战配置数字标准配置数字标准MAC访问列表的步骤访问列表的步骤创建数字标准创建数字标准MAC访问列表访问列表开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建数字标准创建数字标准MAC访问列表访问列表命令：命令：access

40、-listdeny|permitany-source-mac|host-source-mac|功能：定义一条标准数字功能：定义一条标准数字MACACL规则规则参数：参数：访问表号，取值访问表号，取值700到到799；，源源MAC地址；地址；源源MAC地址的掩码（反掩地址的掩码（反掩码）码）说明：当用户第一次指定特定说明：当用户第一次指定特定时，创建此编号的时，创建此编号的ACL，之后在此，之后在此ACL中添加表项。中添加表项。举例：允许源举例：允许源MAC地址为地址为00-00-XX-XX-00-01的数据包通过，拒绝源地址的数据包通过，拒绝源地址为为00-00-00-XX-00-ab的数据包

41、通过。的数据包通过。Switch(Config)#access-list700permit00-00-00-00-00-0100-00-FF-FF-00-01Switch(Config)#access-list700deny00-00-00-00-00-ab00-00-00-FF-00-ab企业网综合实战配置数字扩展配置数字扩展MAC访问列表的步骤访问列表的步骤创建数字扩展创建数字扩展MAC访问列表访问列表开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建数字扩展创建数字扩展MAC访问列表访问列表命

43、gged-802.3标记的标记的ethernet802.3包格式；包格式；Offset(x)从包头开始起的偏移量，范围为（从包头开始起的偏移量，范围为（12-79）；）；Length(x)长度为长度为1-4；Value(x)16进进制数表示，取值范围：当制数表示，取值范围：当Length(x)=1为为0-ff,当当Length(x)=2为为0-ffff,当当Length(x)=3为为0-ffffff,当当Length(x)=4为为0-ffffffff；对于对于Offset(x)，对不同的数据帧类型，它的取值范围不同：对，对不同的数据帧类型，它的取值范围不同：对untagged-eth2类型帧：

44、类型帧：，对，对untagged-802.3类型帧：类型帧：，对，对tagged-eth2类型帧：类型帧：，对，对tagged-802.3类型帧：类型帧：企业网综合实战举例：允许任意源举例：允许任意源MAC地址任意目的地址任意目的MAC地地址的址的tagged-eth2，且其第，且其第1516个字节分别为个字节分别为0 x08，0 x0的包通过的包通过Switch(Config)#access-list1100permitany-source-macany-destination-mactagged-eth21420800企业网综合实战配置命名扩展配置命名扩展MAC访问列表的步骤访问列表的步骤

45、创建一个命名扩展创建一个命名扩展MAC访问列表访问列表指定多条指定多条permit或或deny规则规则开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个命名扩展创建一个命名扩展IP访问列表访问列表命令：命令：Mac-access-listextended说明：说明：name为访问列表的名字，字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例：创建一个名为举例：创建一个名为test的扩展的扩展mac访问列表访问列表Mac-access-

48、nation-mac|host-destination-mac|cosvlanIdethertype企业网综合实战说明说明：cos-val:cos值，值，0-7；cos-bitmask:cos掩码，掩码，0-7反掩码且掩码反掩码且掩码比特连续；比特连续；vid-value:vlan号，号，1-4094；vid-bitmask:vlan掩码，掩码，0-4095，反，反掩码且掩码比特连续；掩码且掩码比特连续；protocol:特定的以太网协议号，特定的以太网协议号，153665535；protocol-bitmask:协议掩码，协议掩码，065535，反掩码且掩码比特连续反掩码且掩码比特连续注意：

49、掩码比特连续是指，掩码有效位必须从左第一位注意：掩码比特连续是指，掩码有效位必须从左第一位开始连续有效，不允许中间插入无效位，例如：一个字开始连续有效，不允许中间插入无效位，例如：一个字节的反掩码形式为：节的反掩码形式为：00001111b；正掩码形式为：；正掩码形式为：1110000；不允许；不允许00010011。企业网综合实战例例1管理员不希望交换机管理员不希望交换机10号端口的网段中号端口的网段中00-12-11-23-xx-xx的的802.3数据报文的发出。数据报文的发出。配置如下：配置如下：switch(Config)#access-list1110deny00-12-11-23-

50、11-2400-00-00-00-ff-ffany-destination-mactagged-802.3switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-macuntagged-802.3switch(Config)#firewallenableswitch(Config)#firewalldefaultpermitswitch(Config)#interfaceethernet0/0/10switch(Config-Ethernet0/0/10)#macaccess-gro

展开阅读全文