返回
利用标准ACL控制网络访问.doc

利用标准ACL控制网络访问.doc

ID:56423077

大小:21.00 KB

页数:4页

时间:2020-06-23

利用标准ACL控制网络访问.doc_第1页
利用标准ACL控制网络访问.doc_第2页
利用标准ACL控制网络访问.doc_第3页
利用标准ACL控制网络访问.doc_第4页
资源描述:

《利用标准ACL控制网络访问.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。  利用标准ACL控制网络访问  当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流

2、量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。  标准ACL的配置语句为:  Switch#access-listaccess-list-number(1~99){permit

3、deny}{anyA

4、source[source-wildcard-mask]}{any

5、destination[destination-mask]}  例1:允许192.168.3.0网络上的主机进行访问:  Swit

6、ch#access-list1permit192.168.3.00.0.0.255  例2:禁止172.10.0.0网络上的主机访问:  Switch#access-list2deny172.10.0.00.0.255.255  例3:允许所有IP的访问:  Switch#access-list1permit0.0.0.0255.255.255.255  例4:禁止192.168.1.33主机的通信:  Switch#access-list3deny192.168.1.330.0.0.0  上面的0.0

7、.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。利用扩展ACL控制网络访问  扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。  扩展ACL的完全命令格式如下:  Swi

8、tch#access-listaccess-list-number(100~199){permit

9、deny}protocol{any

10、source[source-mask]}{any

11、destination[destination-mask]}[port-number]  例1:拒绝交换机所连的子网192.168.3.0ping通另一子网192.168.4.0:  Switch#access-list100denyicmp192.168.3.00.0.0.255192.168.4.00.0.0.255

12、  例2:阻止子网192.168.5.0访问Internet(www服务)而允许其它子网访问:  Switch#access-list101denytcp192.168.5.00.0.0.255anywww  或写为:Switch#access-list101denytcp192.168.5.00.0.0.255any80  例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:  Switch#access-list101permittcp192.168.6.00.0

13、.0.255anysmtp  基于端口和VLAN的ACL访问控制  标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。  配置语句为:  Switch#acess-listport  例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:  Switch#acess-list1deny192.168.3.00.0.0.255  Switch#acess-listpo

14、rt41//把端口4加入到规则1中。  基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。  配置语句:  Switch#acess-listvlan[deny

15、permit]  例:拒绝转发vlan2中的数据:  Switch#access-listvlan2deny另外,我们也可通过显示命令来检查已建立的访问控制列表,即 

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。