【文章內(nèi)容簡(jiǎn)介】 1. 理解 ACL的作用 2. 掌握交換機(jī)的命名標(biāo)準(zhǔn) ACL和命名擴(kuò)展 ACL的配置方法 3. 掌握交換機(jī)的數(shù)字標(biāo)準(zhǔn) ACL和數(shù)字?jǐn)U展 ACL的配置方法 實(shí)驗(yàn)內(nèi)容 見 《 交換機(jī)實(shí)驗(yàn) 》 中的實(shí)驗(yàn)三十一、三十二。 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 實(shí)驗(yàn)三十一 ——標(biāo)準(zhǔn) ACL配置 PC1和 PC2通過交換機(jī) A連到 Server（假設(shè)為 tel服務(wù)器）。 要求： 不配置 ACL時(shí)， PC1和PC2都可訪問 server； 配置 ACL后， PC1和 PC2都不能訪問 server。只有更改了 IP地址后才可訪問； 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) Ip accesslist standard test Deny Deny 為什么會(huì)有下列結(jié)果？ PC 端口 Ping 結(jié)果 Pc1: 0/0/1 不通 Pc1: 0/0/1 不通 Pc2: 0/0/9 不通 Pc2: 0/0/9 通 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 實(shí)驗(yàn)三十二 ——擴(kuò)展 ACL配置 PC1和 PC2通過交換機(jī) A連到 Server（假設(shè)為 tel服務(wù)器）。 要求： 不配置 ACL時(shí)， PC1和PC2都可訪問 server； 配置 ACL后， PC2不能訪問 server。只有更改了 IP地址后才可訪問； 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) Ip accesslist extended test Deny tcp hostsource hostdestination dport 23 為什么會(huì)有下列結(jié)果？ PC 端口 tel 結(jié)果 Pc1: 0/0/1 通 Pc2: 0/0/9 不通 Pc2: 0/0/9 通 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 第六次實(shí)驗(yàn) ——ACL配置（二） 實(shí)驗(yàn)?zāi)康? 進(jìn)一步熟悉和掌握交換機(jī)的 ACL配置。 實(shí)驗(yàn)內(nèi)容 見 《 交換實(shí)驗(yàn)指導(dǎo) 》 實(shí)驗(yàn)三十三、三十四 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 實(shí)驗(yàn)三十三 ——單向訪問控制的實(shí)現(xiàn) PC1和 PC2通過交換機(jī) A相連。 要求： 不配置 ACL時(shí)， PC1和PC2可以互訪； 配置 ACL后， PC1可以訪問 PC2，但 PC2不能訪問PC1 （如 ping）。 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) Ip accesslist extended test Deny icmp hostsource hostdestination 8 Int e0/0/1 Ip accessgroup test in 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 實(shí)驗(yàn)三十四 ——配置訪問列表過濾病毒 目的 了解病毒的工作原理，掌握常見病毒的特征； 掌握過濾病毒的方法 要求 通過配置，使交換機(jī)能隔離病毒。 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 病毒運(yùn)行時(shí)會(huì)不停地利用 IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)的漏洞進(jìn)行攻擊，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、文件丟失或被破壞、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰等。 病毒常會(huì)利用 13 13 69 、 444 445等端口。 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 第一步：創(chuàng)建 acl ip accesslist extended antivirus 第二步：制定過濾規(guī)則 //禁 ping deny icmp anysource anydestination //用于控制 Blaster蠕蟲的傳播 deny udp anysource anydestination dport 69 deny tcp anysource anydestination dport 4444 //用于控制沖擊波病毒的掃描和攻擊 deny tcp anysource anydestination dport 135 deny udp anysource anydestination dport 135 deny udp anysource anydestination dport 137 deny udp anysource anydestination dport eq 138 deny tcp anysource anydestination dport 139 deny udp anysource anydestination dport 139 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) deny tcp anysource anydestination dport 445 deny udp anysource anydestination dport 445 deny udp anysource anydestination dport 593 deny tcp anysource anydestination dport 593 ?deny tcp anysource anydestination dport 5554 ?deny tcp anysource anydestination dport 9995 ?deny tcp anysource anydestination dport 9996 啟用防火墻功能，并配置默認(rèn)規(guī)則 Firewall enable Firewall default permit 將 ACL應(yīng)用于端口 Ip accessgroup antivirus in 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) MAC 訪問列表類型 數(shù)字標(biāo)準(zhǔn) MAC 訪問列表 數(shù)字?jǐn)U展 MAC 訪問列表 命名擴(kuò)展 MAC 訪問列表 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 配置數(shù)字標(biāo)準(zhǔn) MAC訪問列表的步驟 創(chuàng)建數(shù)字標(biāo)準(zhǔn) MAC 訪問列表 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作 將訪問列表應(yīng)用到指定端口 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 創(chuàng)建數(shù)字標(biāo)準(zhǔn) MAC 訪問列表 命令： accesslist accesslistnumber deny|permit anysourcemac | hostsourcemac host_smac | smac smacmask 功能：定義一條標(biāo)準(zhǔn)數(shù)字 MAC ACL 規(guī)則 參數(shù)： accesslistnumber 訪問表號(hào)，取值 700 到 799 ； smac， host_smac 源 MAC 地址； smacmask 源 MAC 地址的掩碼（反掩碼） 說明：當(dāng)用戶第一次指定特定 num時(shí)，創(chuàng)建此編號(hào)的 ACL，之后在此ACL 中添加表項(xiàng)。 舉例：允許源 MAC 地址為 0000XXXX0001 的數(shù)據(jù)包通過，拒絕源地址為 000000XX00ab 的數(shù)據(jù)包通過。 Switch(Config) accesslist 700 permit 000000000001 0000FFFF0001 Switch(Config) accesslist 700 deny 0000000000ab 000000FF00ab 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 配置數(shù)字?jǐn)U展 MAC訪問列表的步驟 創(chuàng)建數(shù)字?jǐn)U展 MAC 訪問列表 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作 將訪問列表應(yīng)用到指定端口 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 創(chuàng)建數(shù)字?jǐn)U展 MAC 訪問列表 命令： accesslist accesslistnumber {deny|permit anysource mac | hostsourcemac host_smac | smac smacmask} {anydestinationmac| hostdestinationmac host_dmac | dmac dmacmask } {untaggedeth2|taggedeth2| |tagged} [offset1 length1 value1 [offset2 length2 value2 [offset3 length3 value3 [offset4 length4 value4]]]] 參數(shù)： accesslistnumber 訪問表號(hào)，取值 1100－ 1199； untaggedeth2 未標(biāo)記的 ether II 包格式； taggedeth2 標(biāo)記的 ether II 包格式； 未標(biāo)記的 ether 包格式； 標(biāo)記的 ether 包格式； Offset(x) 從包頭開始起的偏移量，范圍為（ 1279）； Length(x) 長度為 14 ； Value(x) 16 進(jìn)制數(shù)表示，取值范圍：當(dāng) Length(x) =1 為 0ff , 當(dāng) Length(x) =2為 0ffff , 當(dāng) Length(x) =3 為 0ffffff , 當(dāng) Length(x) =4 為 0ffffffff ； 對(duì)于 Offset(x)，對(duì)不同的數(shù)據(jù)幀類型，它的取值范圍不同：對(duì) untaggedeth2 類型幀： 12～51 ， 對(duì) 類型幀： 12～ 55 ， 對(duì) taggedeth2 類型幀： 12～ 59 ， 對(duì) tagged 類型幀： 12～ 63 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 舉例：允許任意源 MAC 地址任意目的 MAC 地址的 taggedeth2，且其第 15 16 個(gè)字節(jié)分別為0x08 ， 0x0 的包通過 Switch(Config)accesslist 1100 permit anysourcemac anydestinationmac taggedeth2 14 2 0800 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 配置命名擴(kuò)展 MAC訪問列表的步驟 創(chuàng)建一個(gè)命名擴(kuò)展 MAC 訪問列表 指定多條 permit 或 deny 規(guī)則 開啟交換機(jī)的包過濾功能，并設(shè)置其默認(rèn)動(dòng)作 將訪問列表應(yīng)用到指定端口 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 創(chuàng)建一個(gè)命名擴(kuò)展 IP 訪問列表 命令： Macaccesslist extended name 說明： name為訪問列表的名字，字符串長度為 1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。 舉例：創(chuàng)建一個(gè)名為 test的擴(kuò)展 mac訪問列表 Macaccesslist extended test 企業(yè)網(wǎng)綜合實(shí)戰(zhàn) 指定多條 permit 或 deny 規(guī)則 命令： deny|permit {anysource mac|hostso