【文章內(nèi)容簡介】 1. 理解 ACL的作用 2. 掌握交換機的命名標準 ACL和命名擴展 ACL的配置方法 3. 掌握交換機的數(shù)字標準 ACL和數(shù)字擴展 ACL的配置方法 實驗內(nèi)容 見 《 交換機實驗 》 中的實驗三十一、三十二。 企業(yè)網(wǎng)綜合實戰(zhàn) 實驗三十一 ——標準 ACL配置 PC1和 PC2通過交換機 A連到 Server（假設(shè)為 tel服務器）。 要求： 不配置 ACL時， PC1和PC2都可訪問 server； 配置 ACL后， PC1和 PC2都不能訪問 server。只有更改了 IP地址后才可訪問； 企業(yè)網(wǎng)綜合實戰(zhàn) Ip accesslist standard test Deny Deny 為什么會有下列結(jié)果？ PC 端口 Ping 結(jié)果 Pc1: 0/0/1 不通 Pc1: 0/0/1 不通 Pc2: 0/0/9 不通 Pc2: 0/0/9 通 企業(yè)網(wǎng)綜合實戰(zhàn) 實驗三十二 ——擴展 ACL配置 PC1和 PC2通過交換機 A連到 Server（假設(shè)為 tel服務器）。 要求： 不配置 ACL時， PC1和PC2都可訪問 server； 配置 ACL后， PC2不能訪問 server。只有更改了 IP地址后才可訪問； 企業(yè)網(wǎng)綜合實戰(zhàn) Ip accesslist extended test Deny tcp hostsource hostdestination dport 23 為什么會有下列結(jié)果？ PC 端口 tel 結(jié)果 Pc1: 0/0/1 通 Pc2: 0/0/9 不通 Pc2: 0/0/9 通 企業(yè)網(wǎng)綜合實戰(zhàn) 第六次實驗 ——ACL配置（二） 實驗目的 進一步熟悉和掌握交換機的 ACL配置。 實驗內(nèi)容 見 《 交換實驗指導 》 實驗三十三、三十四 企業(yè)網(wǎng)綜合實戰(zhàn) 實驗三十三 ——單向訪問控制的實現(xiàn) PC1和 PC2通過交換機 A相連。 要求： 不配置 ACL時， PC1和PC2可以互訪； 配置 ACL后， PC1可以訪問 PC2，但 PC2不能訪問PC1 （如 ping）。 企業(yè)網(wǎng)綜合實戰(zhàn) Ip accesslist extended test Deny icmp hostsource hostdestination 8 Int e0/0/1 Ip accessgroup test in 企業(yè)網(wǎng)綜合實戰(zhàn) 實驗三十四 ——配置訪問列表過濾病毒 目的 了解病毒的工作原理，掌握常見病毒的特征； 掌握過濾病毒的方法 要求 通過配置，使交換機能隔離病毒。 企業(yè)網(wǎng)綜合實戰(zhàn) 病毒運行時會不停地利用 IP掃描技術(shù)尋找網(wǎng)絡上系統(tǒng)的漏洞進行攻擊，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、文件丟失或被破壞、不停重啟、甚至導致系統(tǒng)崩潰等。 病毒常會利用 13 13 69 、 444 445等端口。 企業(yè)網(wǎng)綜合實戰(zhàn) 第一步：創(chuàng)建 acl ip accesslist extended antivirus 第二步：制定過濾規(guī)則 //禁 ping deny icmp anysource anydestination //用于控制 Blaster蠕蟲的傳播 deny udp anysource anydestination dport 69 deny tcp anysource anydestination dport 4444 //用于控制沖擊波病毒的掃描和攻擊 deny tcp anysource anydestination dport 135 deny udp anysource anydestination dport 135 deny udp anysource anydestination dport 137 deny udp anysource anydestination dport eq 138 deny tcp anysource anydestination dport 139 deny udp anysource anydestination dport 139 企業(yè)網(wǎng)綜合實戰(zhàn) deny tcp anysource anydestination dport 445 deny udp anysource anydestination dport 445 deny udp anysource anydestination dport 593 deny tcp anysource anydestination dport 593 ?deny tcp anysource anydestination dport 5554 ?deny tcp anysource anydestination dport 9995 ?deny tcp anysource anydestination dport 9996 啟用防火墻功能，并配置默認規(guī)則 Firewall enable Firewall default permit 將 ACL應用于端口 Ip accessgroup antivirus in 企業(yè)網(wǎng)綜合實戰(zhàn) MAC 訪問列表類型 數(shù)字標準 MAC 訪問列表 數(shù)字擴展 MAC 訪問列表 命名擴展 MAC 訪問列表 企業(yè)網(wǎng)綜合實戰(zhàn) 配置數(shù)字標準 MAC訪問列表的步驟 創(chuàng)建數(shù)字標準 MAC 訪問列表 開啟交換機的包過濾功能，并設(shè)置其默認動作 將訪問列表應用到指定端口 企業(yè)網(wǎng)綜合實戰(zhàn) 創(chuàng)建數(shù)字標準 MAC 訪問列表 命令： accesslist accesslistnumber deny|permit anysourcemac | hostsourcemac host_smac | smac smacmask 功能：定義一條標準數(shù)字 MAC ACL 規(guī)則 參數(shù)： accesslistnumber 訪問表號，取值 700 到 799 ； smac， host_smac 源 MAC 地址； smacmask 源 MAC 地址的掩碼（反掩碼） 說明：當用戶第一次指定特定 num時，創(chuàng)建此編號的 ACL，之后在此ACL 中添加表項。 舉例：允許源 MAC 地址為 0000XXXX0001 的數(shù)據(jù)包通過，拒絕源地址為 000000XX00ab 的數(shù)據(jù)包通過。 Switch(Config) accesslist 700 permit 000000000001 0000FFFF0001 Switch(Config) accesslist 700 deny 0000000000ab 000000FF00ab 企業(yè)網(wǎng)綜合實戰(zhàn) 配置數(shù)字擴展 MAC訪問列表的步驟 創(chuàng)建數(shù)字擴展 MAC 訪問列表 開啟交換機的包過濾功能，并設(shè)置其默認動作 將訪問列表應用到指定端口 企業(yè)網(wǎng)綜合實戰(zhàn) 創(chuàng)建數(shù)字擴展 MAC 訪問列表 命令： accesslist accesslistnumber {deny|permit anysource mac | hostsourcemac host_smac | smac smacmask} {anydestinationmac| hostdestinationmac host_dmac | dmac dmacmask } {untaggedeth2|taggedeth2| |tagged} [offset1 length1 value1 [offset2 length2 value2 [offset3 length3 value3 [offset4 length4 value4]]]] 參數(shù)： accesslistnumber 訪問表號，取值 1100－ 1199； untaggedeth2 未標記的 ether II 包格式； taggedeth2 標記的 ether II 包格式； 未標記的 ether 包格式； 標記的 ether 包格式； Offset(x) 從包頭開始起的偏移量，范圍為（ 1279）； Length(x) 長度為 14 ； Value(x) 16 進制數(shù)表示，取值范圍：當 Length(x) =1 為 0ff , 當 Length(x) =2為 0ffff , 當 Length(x) =3 為 0ffffff , 當 Length(x) =4 為 0ffffffff ； 對于 Offset(x)，對不同的數(shù)據(jù)幀類型，它的取值范圍不同：對 untaggedeth2 類型幀： 12～51 ， 對 類型幀： 12～ 55 ， 對 taggedeth2 類型幀： 12～ 59 ， 對 tagged 類型幀： 12～ 63 企業(yè)網(wǎng)綜合實戰(zhàn) 舉例：允許任意源 MAC 地址任意目的 MAC 地址的 taggedeth2，且其第 15 16 個字節(jié)分別為0x08 ， 0x0 的包通過 Switch(Config)accesslist 1100 permit anysourcemac anydestinationmac taggedeth2 14 2 0800 企業(yè)網(wǎng)綜合實戰(zhàn) 配置命名擴展 MAC訪問列表的步驟 創(chuàng)建一個命名擴展 MAC 訪問列表 指定多條 permit 或 deny 規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認動作 將訪問列表應用到指定端口 企業(yè)網(wǎng)綜合實戰(zhàn) 創(chuàng)建一個命名擴展 IP 訪問列表 命令： Macaccesslist extended name 說明： name為訪問列表的名字，字符串長度為 1—16個字符，第一個字符不能為數(shù)字。 舉例：創(chuàng)建一個名為 test的擴展 mac訪問列表 Macaccesslist extended test 企業(yè)網(wǎng)綜合實戰(zhàn) 指定多條 permit 或 deny 規(guī)則 命令： deny|permit {anysource mac|hostso