ACL；　　　访问控制列表的配置; .

 

要求及配置; 

  要求通过在Switch B上配置访问列表，实现以下安全功能：

􀁺 192.168.12.0/24网段的主机只能在正常上班时间访问远程UNIX主机TELNET服务，拒绝PING服务。

􀁺 在Switch B控制台上不能访问192.168.202.0/24网段主机的所有服务。

􀀉 说明：

以上案例是银行系统应用的简化，即只允许分行或储蓄点局域网上的主机访问中心主机，不允许在设备上访问中心主机。

设备配置

Switch B的配置：

Ruijie(config)# interface GigabitEthernet 0/1

Ruijie(config-if)# ip address 192.168.12.1 255.255.255.0

Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 0/2

Ruijie(config-if)# ip address 2.2.2.2 255.255.255.0

Ruijie(config-if)# ip access-group 101 in

Ruijie(config-if)# ip access-group 101 out

按照要求，配置一个编号为101的扩展访问列表

Ruijie(config)# access-list 101 permit tcp 192.168.12.0 0.0.0.255 any eq telnet time-range check

Ruijie(config)# access-list 101 deny icmp 192.168.12.0 0.0.0.255 any

Ruijie(config)# access-list 101 deny ip 2.2.2.0 0.0.0.255 any

Ruijie(config)# access-list 101 deny ip any any

配置Time-Range时间区

Ruijie(config)# time-range check

Ruijie(config-time-range)# periodic weekdays 8:30 to 17:30

􀀉 说明：

访问列表101最后一条规则语句access-list 101 deny ip any any可以不要，因为访问列表最后隐含一条拒绝所有的规则语句。

Switch A的配置：

Ruijie(config)# hostname Ruijie

Ruijie(config)# interface GigabitEthernet 0/1

Ruijie(config-if)# ip address 192.168.202.1 255.255.255.0

Ruijie(config)# interface GigabitEthernet 0/2

Ruijie(config-if)# ip address 2.2.2.1 255.255.255.0

 

 

 

MAC扩展访问控制列表配置实例; (700-799)

要求通过配置MAC访问列表，实现以下安全功能：

􀁺 使用IPX协议的主机0013.2049.8272不能访问设备giga 0/1端口。

􀁺 其他可以访问

配置以太口，在以太口上应用访问列表101,对以太口上进出的所有报文进行检查

Ruijie> enable

Ruijie# configure terminal

Ruijie(config)# mac access-list extended mac-list

Ruijie(config-mac-nacl)# deny host 0013.2049.8272 any ipx

Ruijie(config-mac-nacl)# permit any any

Ruijie(config-mac-nacl)# exit

Ruijie(config)# interface gigabitEthernet 0/1

Ruijie(config-if)# mac access-group mac-list in

Ruijie(config-if)# end

Ruijie# show access-lists

mac access-list extended mac-list

deny host 0013.2049.8272 any ipx

permit any any

Ruijie#

 

 

配置 expert扩展访问控制列表(2700-2899)

 要配置Expert访问列表，有以下两种方式

方式一 在全局配置模式下执行以下命令：

命令

功能

Ruijie (config)# access-list id {deny |

permit} [prot | {[ethernet-type] [cos cos]}] [VID

vid] {src src-wildcard | host src | interface idx}

{host src-mac-addr | any} {dst dst-wildcard |

host dst | any}{host dst-mac-addr | any}]

[precedence precedence] [tos tos] [ dscp

dscp] [fragment] [time-range tm-rng-name]

定义访问列表,命令的具体内容请参见命令参考

Ruijie(config)# interface interface

选择选择要应用访问列表的接口

Ruijie(config-if)# expert access-group id {in | out }

将访问列表应用特定接口

 

方式二， 在ACL配置模式下执行以下命令：

命令

功能

Ruijie(config)# expert access-list

extended {id|name}

进入配置访问列表模式

Ruijie (config-exp-nacl)# [sn]{ permit |

deny }[prot | {[ethernet-type] [cos cos]}] [VID

vid] {src src-wildcard | host src | interface

idx}{host src-mac-addr | any} {dst

dst-wildcard | host dst | any}{host

dst-mac-addr | any}][precedence

precedence] [tos tos] [ dscp dscp]

[fragment] [time-range tm-rng-name]

为ACL添加表项,命令的具体内容请参见命令参考

Ruijie(config-exp-nacl)# exit

Ruijie(config)# interface interface

退出访问控制列表模式，选择选择要应用访问列表的接口

Ruijie(config-if)# expert access-group {id|name} {in|out}

将访问列表应用特定接口

 

 

 IPV6扩展访问控制列表的配置;

 1.5.3 IPv6扩展访问列表示例

要求通过配置访问列表，实现以下安全功能：

􀁺 192.168.4.12的主机能访问设备gi 0/1端口。

􀁺 其他的不能访问

Ruijie> enable

Ruijie# config terminal

Ruijie(config)# ipv6 access-list v6-list

Ruijie(config-ipv6-nacl)# permit ipv6 ::192:68:4:12/24 any

Ruijie(config-ipv6-nacl)# deny ipv6 any any

Ruijie(config-ipv6-nacl)# exit

Ruijie(config)# interface gigabitEthernet 0/1

Ruijie(config-if)# ipv6 traffic-filter v6-list in

Ruijie(config-if)# end

Ruijie# show access-lists

ipv6 access-list extended v6-list

petmit ipv6 ::192.168.4.12 any

deny any any

Ruijie#

 

 

配置TCP flag 过滤控制;

 

 Ruijie> enable

Ruijie#

2) 进入全局配置模式

Ruijie# configure terminal

Ruijie(config)#

3) 进入ACL配置模式

Ruijie(config)# ip access-list extended test-tcp-flag

Ruijie(config-ext-nacl)#

4) 添加ACL表项

Ruijie(config-ext-nacl)# permit tcp any any match-all rst

5) 添加deny表项

Ruijie(config-ext-nacl)# deny tcp any any match-all fin

6) 重复添加删除表项，

7) end

Ruijie(config-ext-nacl)# end

8) 显示

Ruijie# show access-list test-tcp-flag

ip access-lists extended test-tcp-flag

10 permit tcp any any match-all rst

20 deny tcp any any match-all fin

 

 

 

配置基于时间的ACL;

 

 下面的例子以时间区ACL 应用为例，说明如何在每周工作时间段内禁止HTTP 的数据流：

Ruijie(config)# time-range no-http

Ruijie(config-time-range)# periodic weekdays 8:00 to 18:00

Ruijie(config)# end

Ruijie(config)# ip access-list extended limit-udp

Ruijie(config-ext-nacl)# deny tcp any any eq www time-range no-http

Ruijie(config-ext-nacl)# exit

Ruijie(config)# interface gigabitEthernet 0/1

Ruijie(config-if)# ip access-group no-http in

Ruijie(config)# end

下面为Time Range的显示范例:

Ruijie# show time-range

time-range entry: no-http(inactive)

periodic Weekdays 8:00 to 18:00

 

 

配置绑定源端口地址的ACL

 

您可以使用IP标准，IP扩展及专家ACL来配置匹配源接口地址。

从特权模式开始，您可以通过以下步骤来设置一个ACL匹配源接口地址

命令

功能

Ruijie# configure terminal

进入全局配置模式。

Ruijie(config)# ip access-list standard 1

进入ACL配置模式

Ruijie(config-std-nacl)# permit ip interface idx

配置匹配源接口地址ACL表项