1、ACL被上層軟件引用典型配置舉例數據庫
經過源IP地址對Telnet登陸用戶進行控制,僅容許IP地址爲10.110.100.52的Telnet用戶登陸到交換機。服務器
圖1-1經過源IP對Telnet登陸用戶進行控制組網圖網絡
#定義基本ACL2000。ide
<Sysname>system-viewui
[Sysname]aclnumber2000spa
[Sysname-acl-basic-2000]rule1permitsource10.110.100.520接口
[Sysname-acl-basic-2000]quitip
#在VTY用戶界面引用基本ACL2000,對Telnet登陸用戶進行控制。get
[Sysname]user-interfacevty04it
[Sysname-ui-vty0-4]acl2000inbound
經過源IP地址對WEB登陸用戶進行控制,僅容許IP地址爲10.110.100.46的WEB用戶經過HTTP方式訪問交換機。
圖1-2經過源IP對WEB登陸用戶進行控制組網圖
#定義基本ACL2001。
<Sysname>system-view
[Sysname]aclnumber2001
[Sysname-acl-basic-2001]rule1permitsource10.110.100.460
[Sysname-acl-basic-2001]quit
#配置WEB服務器引用基本ACL2001,對WEB登陸用戶進行控制。
[Sysname]iphttpacl2001
PC1和PC2經過端口Ethernet1/0/1接入交換機,PC1的IP地址爲10.1.1.1。要求配置基本ACL,實如今天天8:00~18:00的時間段內對PC1發出的IP報文進行過濾。
圖1-3基本ACL配置組網圖
#定義週期時間段test,時間範圍爲天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定義基本ACL2000,配置源IP地址爲10.1.1.1的訪問規則。
[Sysname]aclnumber2000
[Sysname-acl-basic-2000]rule1denysource10.1.1.10time-rangetest
[Sysname-acl-basic-2000]quit
#在端口Ethernet1/0/1上應用ACL2000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundip-group2000
公司企業網經過交換機實現各部門之間的互連。研發部門由端口Ethernet1/0/1接入交換機,工資查詢服務器的地址爲192.168.1.2。要求配置高級ACL,禁止研發部門在工做日8:00~18:00的時間段內訪問工資查詢服務器。
圖1-4高級ACL配置組網圖
#定義週期時間段test,時間範圍爲工做日的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00working-day
#定義高級ACL3000,配置目的IP地址爲工資查詢服務器的訪問規則。
[Sysname]aclnumber3000
[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest
[Sysname-acl-adv-3000]quit
#在端口Ethernet1/0/1上應用ACL3000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundip-group3000
PC1和PC2經過端口Ethernet1/0/1接入交換機,PC1的MAC地址爲0011-0011-0011。要求配置二層ACL,在天天8:00~18:00的時間段內,對PC1發出的目的MAC爲0011-0011-0012的報文進行過濾。
圖1-5二層ACL配置組網圖
#定義週期時間段test,時間範圍爲天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定義二層ACL4000,配置源MAC爲0011-0011-0011,目的MAC爲0011-0011-0012的訪問規則。
[Sysname]aclnumber4000
[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest
[Sysname-acl-ethernetframe-4000]quit
#在端口Ethernet1/0/1上應用ACL4000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundlink-group4000
網絡環境描述以下:
lPC1的IP地址爲192.168.0.2,經過端口Ethernet1/0/1接入交換機;PC2的IP地址爲192.168.0.3,經過端口Ethernet1/02接入交換機。
lPC1和PC2屬於VLAN1,兩者的網關都設置爲192.168.0.1(交換機VLAN1接口的IP地址),經過交換機訪問Internet。
要求配置用戶自定義ACL,在天天8:00~18:00的時間段內,對PC1發出的仿冒網關IP地址的ARP報文進行過濾。
圖1-6用戶自定義ACL配置組網圖
#定義週期時間段test,時間範圍爲天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定義用戶自定義ACL5000,配置源IP地址爲192.168.0.1的ARP報文的訪問規則(假設沒有端口啓動VLAN-×××功能)。其中0806爲ARP協議號,16爲交換機內部處理的以太網報文中協議類型字段的偏移量,c0a80001爲192.168.0.1的十六進制形式,32爲交換機內部處理的ARP報文中源IP地址字段的偏移量。
[Sysname]aclnumber5000
[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest
#在端口Ethernet1/0/1上應用ACL5000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000
PC1和PC2經過端口Ethernet1/0/1接入交換機,PC1的IPv6地址爲3001::1/64。要求配置IPv6ACL,在天天8:00~18:00的時間段內,對PC1發出的目的IPv6地址爲3002::1/64的報文進行過濾。
圖1-7IPv6ACL配置組網圖
#定義週期時間段test,時間範圍爲天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定義IPv6ACL5000,配置源地址爲3001::1/64,目的地址爲3002::1/64的訪問規則。
[Sysname]aclnumber5000
[Sysname-acl-user-5000]ruledenysrc-ip3001::164dest-ip3002::164time-rangetest
[Sysname-acl-user-5000]quit
#在端口Ethernet1/0/1上應用IPv6ACL5000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000
PC1、PC2和PC3屬於VLAN10,分別經過端口Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3接入交換機,數據庫服務器的IP地址爲192.168.1.2。要求配置高級ACL3000,禁止VLAN10內的PC在工做日8:00~18:00的時間段內訪問數據庫服務器。
圖1-8在VLAN上應用ACL配置組網圖
#定義週期時間段test,時間範圍爲工做日的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00working-day
#定義高級ACL3000,配置目的IP地址爲數據庫服務器的訪問規則。
[Sysname]aclnumber3000
[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest
[Sysname-acl-adv-3000]quit
#在VLAN10上應用ACL3000。
[Sysname]packet-filtervlan10inboundip-group3000