三层交换机访问控制列表ACL的配置

1、企业网综合实战三层交换机三层交换机访问列表访问列表ACLACL的配置的配置企业网综合实战ACL 是交换机实现的一种数据包过滤机制，通过允许或拒绝特定是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。全运行。ACL 是一个有序的语句集，每一条语句对应一条特定的规则是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条每条rule包括了过滤信息及匹配此包括了过滤信息及匹配此rule时应采取的动作。时应采取的动作。Rule包含包含的信息可以包括源的信息可以包括源M

2、AC、目的、目的MAC、源、源IP、目的、目的IP、IP协议号、协议号、tcp端口等条件的有效组合。端口等条件的有效组合。根据不同的标准，根据不同的标准，ACL可以有如下分类：可以有如下分类： 根据过滤信息：根据过滤信息：ip access-list （三层以上信息），（三层以上信息），mac access-list （二（二层信息），层信息），mac-ip access-list （二层以上信息）。（二层以上信息）。 根据配置的复杂程度：标准根据配置的复杂程度：标准(standard)和扩展和扩展(extended)，扩展方式可，扩展方式可以指定更加细致过滤信息。以指定更加细致过滤信息。 根

3、据命名方式：数字根据命名方式：数字(numbered)和命名和命名(named)企业网综合实战IP ACL（1）配置数字标准）配置数字标准IP 访问列表访问列表（2）配置数字扩展）配置数字扩展IP 访问列表访问列表（3）配置命名标准）配置命名标准IP 访问列表访问列表（4） 配置命名扩展配置命名扩展IP 访问列表访问列表MAC ACL（1）配置数字标准）配置数字标准MAC 访问列表访问列表（2）配置数字扩展）配置数字扩展MAC 访问列表访问列表（3）配置命名扩展）配置命名扩展MAC 访问列表访问列表MAC-IP（1）配置数字扩展）配置数字扩展MAC-IP 访问列表访问列表（2）配置命名扩展）配

4、置命名扩展MAC-IP 访问列表访问列表企业网综合实战IP 访问列表类型访问列表类型命名标准命名标准IP IP 访问列表访问列表命名扩展命名扩展IP IP 访问列表访问列表数字数字标准标准IP IP 访问列表访问列表数字扩展数字扩展IP IP 访问列表访问列表基于时间的访问列表基于时间的访问列表企业网综合实战配置命名标准配置命名标准IP访问列表的步骤访问列表的步骤创建一个命名标准创建一个命名标准IP 访问列表访问列表 指定多条指定多条permit 或或deny 规则规则 开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定

5、端口企业网综合实战创建一个命名标准创建一个命名标准IP 访问列表访问列表命令：命令：ip access-list standard 说明：说明： name为访问列表的名字，字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例：创建一个名为举例：创建一个名为test的标准的标准IP访问列表访问列表ip access-list standard test 企业网综合实战指定多条指定多条permit 或或deny 规则规则命令：命令：deny | permit | any-source | host-source 说明：说明： sIpAdd

6、r为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。举例：允许源地址为举例：允许源地址为/24的数据包通过，拒的数据包通过，拒绝源地址为绝源地址为的数据包通过。的数据包通过。Permit 55 Deny host-source 企业网综合实战开启交换机的包过滤功能开启交换机的包过滤功能相关命令：相关命令：Firewall enable 作用：开启交换机的包过滤功能（即防火墙功能）作用：开启交换机的包过滤功能（即防火墙功能）Firewall disable 作用：关闭交

7、换机的包过滤功能作用：关闭交换机的包过滤功能说明说明在允许和禁止防火墙时，都可以设置访问规则。但只有在防在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上；火墙起作用时才可以将规则应用至特定端口的特定方向上；使防火墙不起作用后将删除端口上绑定的所有使防火墙不起作用后将删除端口上绑定的所有ACL。企业网综合实战设置包过滤的默认动作设置包过滤的默认动作相关命令：相关命令：Firewall default permit 作用：设置其默认动作为允许作用：设置其默认动作为允许Firewall default deny 作用：设置其默认动作为拒绝作用：设

8、置其默认动作为拒绝说明说明此命令只影响端口入口方向的此命令只影响端口入口方向的IP 包，其余情况包，其余情况下数据包均可通过交换机。下数据包均可通过交换机。企业网综合实战将访问列表应用到指定端口将访问列表应用到指定端口命令：命令：Interface Ip access-group in|out作用：在端口的某个方向上应用一条作用：在端口的某个方向上应用一条access-list 说明说明一个端口可以绑定一条入口规则和一条出口规则；一个端口可以绑定一条入口规则和一条出口规则；ACL 绑定到出口时只能包含绑定到出口时只能包含deny 规则；规则；如果是堆叠交换机，则只能在入口绑定如果是堆叠交换机，

9、则只能在入口绑定ACL，不能在出口，不能在出口绑定绑定ACL。企业网综合实战 总结：总结：对对ACL 中的表项的检查是自上而下的，只要匹配一条表项，中的表项的检查是自上而下的，只要匹配一条表项，对此对此ACL 的检查就马上结束。的检查就马上结束。端口特定方向上没有绑定端口特定方向上没有绑定ACL 或没有任何或没有任何ACL 表项匹配时，表项匹配时，才会使用默认规则。才会使用默认规则。每个端口入口和出口可以各绑定一条每个端口入口和出口可以各绑定一条IP ACL 。当一条当一条ACL 被绑定到端口出口方向时，只能包含被绑定到端口出口方向时，只能包含deny 表项。表项。可以配置可以配置ACL 拒绝

10、某些拒绝某些ICMP 报文通过以防止报文通过以防止“冲击波冲击波”等等病毒攻击。病毒攻击。对于堆叠交换机，则只能在入口绑定对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定，不能在出口绑定ACL。企业网综合实战标准访问列表应用举例标准访问列表应用举例要求：要求：PC1()不能访问服务器不能访问服务器server1()和和server2()， PC2()可以访问。可以访问。 PC1接在端口接在端口1上，上， PC2接在端口接在端口2上；上；server1接在端口接在端口23上，上， server2

11、接在端口接在端口24上。上。企业网综合实战switch#confSwitch(config)# ip access-list standard pc1toserver1 # deny host-source #exit #int e0/0/23 #ip access-group pc1toserver1 outSwitch(config)# ip access-list standard pc1toserver2 # deny host-source #exit #int e0/0/24 #ip access-group pc1toserve

12、r2 out企业网综合实战配置命名扩展配置命名扩展IP访问列表的步骤访问列表的步骤创建一个命名扩展创建一个命名扩展IP 访问列表访问列表 指定多条指定多条permit 或或deny 规则规则 开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个命名扩展创建一个命名扩展IP 访问列表访问列表命令：命令：ip access-list extended 说明：说明： name为访问列表的名字，字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例

13、：创建一个名为举例：创建一个名为test的扩展的扩展IP访问列表访问列表ip access-list extended test 企业网综合实战指定多条指定多条permit 或或deny 规则规则命令（过滤命令（过滤ICMP数据包）数据包） ：deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time range 说明说明，icmp 的类型，的类型，0255；，icmp 的协议编号，的协议编号，0255；，IP 优先级，优先级，07；，tos 值，值

14、，0-15time-range-name ，时间范围名称。，时间范围名称。企业网综合实战指定多条指定多条permit 或或deny 规则规则命令（过滤命令（过滤IGMP数据包）数据包） ：deny | permit igmp | any-source | host-source | any-destination | host-destination precedence tos time-range 说明说明，igmp 的类型，的类型，0-255企业网综合实战指定多条指定多条permit 或或deny 规则规则命令（过滤命令（过滤TCP数据包）数据包） ：deny | permit tcp

15、| any-source | host-source sPort | any-destination |host-destination dPort ack+fin+psh+rst+urg+syn precedence tos time -range 说明说明，源端口号，源端口号，0-65535；，目的端口号，目的端口号，0-65535。企业网综合实战指定多条指定多条permit 或或deny 规则规则命令（过滤命令（过滤UDP数据包）数据包） ：deny | permit udp | any-source | host-source sPort | any-destination |host

16、-destination dPort precedence tos time -range 企业网综合实战指定多条指定多条permit 或或deny 规则规则命令（过滤命令（过滤IP等数据包）等数据包） ：deny | permit eigrp | gre | igrp | ipinip | ip | | any-source | host-source | any-destination | host-destination precedence tos time range 企业网综合实战举例：创建名为举例：创建名为udpFlow的扩展访问列表。拒绝的扩展访问列表。拒绝igmp 报文通报文

17、通过，允许目的地址为过，允许目的地址为 、目的端口为、目的端口为32 的的udp 包通包通过。过。 #ip access-list extended udpFlow #deny igmp any-source any-destination #permit udp any-source host-destination dPort 32 企业网综合实战命名扩展命名扩展IP访问列表应用举例访问列表应用举例要求：要求：1. 允许允许PC1访问访问server的的Telnet服务，但不能服务，但不能ping通它；通它；2. 拒绝拒绝PC2访问访问serv

18、er的的Telnet服务，但能服务，但能ping通它。通它。企业网综合实战在在5526交换机上进行配置交换机上进行配置Ip access-list extended pc1toserverPermit tcp 55 host-destination 54 dport 23Deny icmp host-source host-destination 54 Ip access-list extended pc2toserverdeny icmp host-source 192.16

19、8.200.1 host-destination 54Permit tcp host-source host-destination 54 Firewall enableFirewall default permitInterface e0/0/1Ip access-group pc1toserver inInterface e0/0/2Ip access-group pc2toserver in企业网综合实战配置数字标准配置数字标准IP访问列表的步骤访问列表的步骤创建一个数字标准创建一个数字标准IP 访问列表，并指定

20、访问列表，并指定permit 或或deny 规则规则 开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个数字标准创建一个数字标准IP 访问列表访问列表命令：命令：access-list deny | permit | any-source | host-source 说明：说明： num为访问列表的数字编号，取值为访问列表的数字编号，取值199。sIpAddr为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。如果已有此访问列表，则增加一条规则。如果已有此访问列表，则增加一条规则。

21、举例：创建一个编号为举例：创建一个编号为1的标准的标准IP访问列表，允许访问列表，允许网段的数据通过。网段的数据通过。access-list 1 permit 55 企业网综合实战数字标准访问列表应用举例数字标准访问列表应用举例要求：要求：PC1()不能访问服务器不能访问服务器server1()和和server2()， PC2()可以访问。可以访问。 PC1接在端口接在端口1上，上， PC2接在端口接在端口2上；上；server1接在端口接

22、在端口23上，上， server2接在端口接在端口24上。上。企业网综合实战switch#confSwitch(config)# access-list 1 deny host-source #exit #int e0/0/23 #ip access-group 1 outSwitch(config)#access-list 2 deny host-source #exit #int e0/0/24 #ip access-group 2 out企业网综合实战配置数字扩展配置数字扩展IP访问列表的步骤访问列表的步骤创建一个数字扩展创建一个数字扩

23、展IP 访问列表，并指定访问列表，并指定permit 或或deny 规则规则 开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个数字标准创建一个数字标准IP 访问列表访问列表命令：命令：access-list deny | permit 说明：说明： num为访问列表的数字编号，取值为访问列表的数字编号，取值100199。sIpAddr为源为源IP地址，地址，sMask为源为源IP的反掩码。的反掩码。如果已有此访问列表，则增加一条规则。如果已有此访问列表，则增加一条规则。举例：创建一个编号为举例

24、：创建一个编号为101的扩展的扩展IP访问列表，允许访问列表，允许网段的主机访问网段的主机访问ftp服务器服务器。access-list 101 permit tcp 55 host-destination dport 21 企业网综合实战数字扩展数字扩展IP访问列表应用举例访问列表应用举例要求：要求：1. 允许允许PC1访问访问server的的Telnet服务，但不能服务，但不能ping通它；通它；2. 拒绝拒绝PC2访问访问server的的Telnet服务，但能服务，但能ping通它。通它

25、。企业网综合实战在在5526交换机上进行配置交换机上进行配置access-list 101 permit tcp 55 host-destination 54 dport 23access-list 101 deny icmp host-source host-destination 54 access-list 102 deny icmp host-source host-destination 54access-list

26、102 permit tcp host-source host-destination 54 Firewall enableFirewall default permitInterface e0/0/1Ip access-group 101 inInterface e0/0/2Ip access-group 102 in企业网综合实战基于时间的访问控制列表基于时间的访问控制列表概述概述可以根据一天中的不同时间，或者根据一个星期可以根据一天中的不同时间，或者根据一个星期中的不同日期，或者二者相结合，来控制对网络中的不同日期，或者二者相结合，来控

27、制对网络数据包的转发。数据包的转发。实现基于时间的访问列表的操作步骤实现基于时间的访问列表的操作步骤1. 定义一个时间范围定义一个时间范围2. 在访问列表中引用时间范围在访问列表中引用时间范围企业网综合实战基于时间的访问控制列表的配置基于时间的访问控制列表的配置第一步：时间范围命名第一步：时间范围命名time-range 第二步：定义具体的时间范围第二步：定义具体的时间范围定义绝对时间范围定义绝对时间范围absolute Absolute-periodic定义周期、重复使用的时间范围定义周期、重复使用的时间范围periodic第三步第三步在访问列表中引用时间范围在访问列表中引用时间范围企业网综

28、合实战说明说明1.absolute-periodic Monday|Tuesday|Wednesday |Thursday|Friday| Saturday|Sunday to Monday.|Tuesday.|Wednesday.| Thursday.| Friday.|Saturday.|Sunday. 2.Periodic Monday+Tuesday+Wednesday+Thursday+Friday +Saturday +Sunday| daily| weekdays | weekend to 3.absolute Monday|Tuesday|Wednesday |Thursday

29、|Friday| Saturday|Sunday to Monday.|Tuesday.| Wednesday.| Thursday.| Friday.|Saturday.|Sunday. 或或absolute start end 企业网综合实战说明说明4.periodic命令中参数命令中参数参数参数描述描述Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,sunday某一天或某几天的结合某一天或某几天的结合daily每天每天weekdays从星期一到星期五从星期一到星期五weekend星期六和星期日星期六和星期日5. 确保交换机时钟设置准确确

30、保交换机时钟设置准确 6. 开始时间必须小于结束时间开始时间必须小于结束时间 企业网综合实战举例：举例：1. 使使Tuesday的的9:15:30到到Saturday 的的12:30:00 时间段内配置时间段内配置生效生效Switch(Config)#time-range dc_timer Switch(Config-Time-Range)#absolute-periodic Tuesday 9:15:30 to Saturday. 12:30:00 2. 使使Monday、Wednesday、Friday 和和Sunday 四天内的四天内的14:30:00 到到16:45:00 时间段配置生

31、效时间段配置生效Switch (Config-Time-Range) #periodic Monday Wednesday FridaySunday 14:30:00 to 16:45:00 企业网综合实战基于时间访问列表应用举例基于时间访问列表应用举例要求：要求：1. 限制限制网段的主机只能在网段的主机只能在2007年年6月月1日至日至2008年年12月月31日内的日内的星期六的早上星期六的早上7:00到星期日的下午到星期日的下午5:00进行进行WWW访问。访问。企业网综合实战Route-config#time-range allow-wwwRoute-config-t

32、ime-range#absolute start 7:00:00 2007.6.1 end 17:00:00 2008 .12.31 Route-config-time-range#periodic weekend 7:00:00 to 17:00:00Route-config#ip access-list extended timeaclRoute-config-ext-nacl#permit tcp 55 any-destination dport 80 time-range allow-wwwRoute-config#firewall enableR

33、oute-config#firewall default permitRoute-config# int E0/0/1Route-config-f0/1#ip access-group timeacl in企业网综合实战第五次实验第五次实验 ACL配置（一）配置（一）实验目的实验目的1. 理解理解ACL的作用的作用2. 掌握交换机的命名标准掌握交换机的命名标准ACL和命名扩展和命名扩展ACL的配置的配置方法方法3. 掌握交换机的数字标准掌握交换机的数字标准ACL和数字扩展和数字扩展ACL的配置的配置方法方法实验内容实验内容见见交换机实验交换机实验中的实验三十一、三十二。中的实验三十一、三十二。

34、企业网综合实战实验三十一实验三十一标准标准ACL配置配置PC1和和PC2通过交换机通过交换机A连连到到Server（假设为（假设为telnet服服务器）。务器）。要求：要求：不配置不配置ACL时，时，PC1和和PC2都可访问都可访问server；配置配置ACL后，后，PC1和和PC2都不能访问都不能访问server。只有更。只有更改了改了IP地址后才可访问；地址后才可访问；企业网综合实战Ip access-list standard testDeny 1 55Deny 2 为什么会有下列结果？为什么会有下列结果？P

35、C端口端口Ping结果结果Pc1: 10/0/不通不通Pc1: 20/0/不通不通Pc2: 20/0/9不通不通Pc2: 20/0/9通通企业网综合实战实验三十二实验三十二扩展扩展ACL配置配置PC1和和PC2通过交换机通过交换机A连连到到Server（假设为（假设为telnet服服务器）。务器）。要求：要求：不配置不配置ACL时，时，PC1和和PC2都可访问都可访问server；配置配置ACL后，后，PC2不能访不能访问问

36、server。只有更改了。只有更改了IP地地址后才可访问；址后才可访问；企业网综合实战Ip access-list extended testDeny tcp host-source 2 host-destination dport 23为什么会有下列结果？为什么会有下列结果？PC端口端口telnet结果结果Pc1: 10/0/通通Pc2: 20/0/9不通不通Pc2: 20/0/9通通企业网综合实战第六次实验第六次实验AC

37、L配置（二）配置（二）实验目的实验目的进一步熟悉和掌握交换机的进一步熟悉和掌握交换机的ACL配置。配置。实验内容实验内容见见交换实验指导交换实验指导实验三十三、三十四实验三十三、三十四企业网综合实战实验三十三实验三十三单向访问控制的实现单向访问控制的实现PC1和和PC2通过交换机通过交换机A相相连。连。要求：要求：不配置不配置ACL时，时，PC1和和PC2可以互访；可以互访；配置配置ACL后，后， PC1可以访可以访问问PC2，但，但PC2不能访问不能访问PC1 （如（如ping）。）。企业网综合实战Ip access-list extended testDeny icmp host-sour

38、ce 2 host-destination 1 8Int e0/0/1Ip access-group test in企业网综合实战实验三十四实验三十四配置访问列表过滤病毒配置访问列表过滤病毒目的目的了解病毒的工作原理，掌握常见病毒的特征；了解病毒的工作原理，掌握常见病毒的特征；掌握过滤病毒的方法掌握过滤病毒的方法要求要求通过配置，使交换机能隔离病毒。通过配置，使交换机能隔离病毒。企业网综合实战病毒运行时会不停地利用病毒运行时会不停地利用IP扫描技术寻找网扫描技术寻找网络上系统的漏洞进行攻击，一旦攻击成功，络上系统的漏洞进行攻击，一旦攻击成功，

39、病毒体将会被传送到对方计算机中进行感染，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、文件丢失或被破坏、不停使系统操作异常、文件丢失或被破坏、不停重启、甚至导致系统崩溃等。重启、甚至导致系统崩溃等。病毒常会利用病毒常会利用135、139、 69 、4444、445等等端口。端口。企业网综合实战第一步：创建第一步：创建aclip access-list extended antivirus第二步：制定过滤规则第二步：制定过滤规则/禁禁ping deny icmp any-source any-destination/用于控制用于控制Blaster蠕虫的传播蠕虫的传播deny udp a

40、ny-source any-destination d-port 69deny tcp any-source any-destination d-port 4444/用于控制冲击波病毒的扫描和攻击用于控制冲击波病毒的扫描和攻击deny tcp any-source any-destination d-port 135deny udp any-source any-destination d-port 135deny udp any-source any-destination d-port 137deny udp any-source any-destination d-port eq 138

41、deny tcp any-source any-destination d-port 139deny udp any-source any-destination d-port 139企业网综合实战deny tcp any-source any-destination d-port 445deny udp any-source any-destination d-port 445deny udp any-source any-destination d-port 593deny tcp any-source any-destination d-port 593deny tcp any-sour

42、ce any-destination d-port 5554deny tcp any-source any-destination d-port 9995deny tcp any-source any-destination d-port 9996启用防火墙功能，并配置默认规则启用防火墙功能，并配置默认规则Firewall enableFirewall default permit将将ACL应用于端口应用于端口Ip access-group antivirus in企业网综合实战MAC 访问列表类型访问列表类型数字标准数字标准MAC 访问列表访问列表数字扩展数字扩展MAC 访问列表访问列表命名

43、扩展命名扩展MAC 访问列表访问列表企业网综合实战配置数字标准配置数字标准MAC访问列表的步骤访问列表的步骤创建数字标准创建数字标准MAC 访问列表访问列表开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建数字标准创建数字标准MAC 访问列表访问列表命令：命令：access-list deny|permit any-source-mac | host-source-mac | 功能：定义一条标准数字功能：定义一条标准数字MAC ACL 规则规则 参数：参数： 访问表号，取值访问表号，取值700 到到

44、799 ；， 源源MAC 地址；地址； 源源MAC 地址的掩码（反掩地址的掩码（反掩码）码）说明：当用户第一次指定特定说明：当用户第一次指定特定时，创建此编号的时，创建此编号的ACL，之后在此，之后在此ACL 中添加表项。中添加表项。举例：允许源举例：允许源MAC 地址为地址为00-00-XX-XX-00-01 的数据包通过，拒绝源地址的数据包通过，拒绝源地址为为00-00-00-XX-00-ab 的数据包通过。的数据包通过。Switch(Config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-01 Switch(Con

45、fig)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-ab 企业网综合实战配置数字扩展配置数字扩展MAC访问列表的步骤访问列表的步骤创建数字扩展创建数字扩展MAC 访问列表访问列表开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建数字扩展创建数字扩展MAC 访问列表访问列表命令：命令：access-list deny|permit any-source -mac | host-source-mac | any-destination-

46、mac| host-destination-mac | untagged-eth2|tagged-eth2| untagged-802.3 |tagged-802.3 参数：参数： 访问表号，取值访问表号，取值11001199；untagged-eth2 未标记的未标记的ethernet II 包格式；包格式；tagged-eth2 标记的标记的ethernet II 包格式；包格式；untagged-802.3 未标记的未标记的ethernet 802.3 包格式；包格式；tagged-802.3 标记的标记的ethernet 802.3 包格式包格式；Offset(x) 从包头开始起的偏移

47、量，范围为（从包头开始起的偏移量，范围为（12-79）；）；Length(x) 长度为长度为1-4 ；Value(x) 16 进进制数表示，取值范围：当制数表示，取值范围：当Length(x) =1 为为0-ff , 当当Length(x) =2为为0-ffff , 当当Length(x) =3 为为0-ffffff , 当当Length(x) =4 为为0-ffffffff ； 对于对于Offset(x)，对不同的数据帧类型，它的取值范围不同：对，对不同的数据帧类型，它的取值范围不同：对untagged-eth2 类型帧类型帧： ，对对untagged-802.3 类型帧类型帧： ，对对ta

48、gged-eth2 类型帧类型帧： ，对对tagged-802.3 类型帧类型帧： 企业网综合实战举例：允许任意源举例：允许任意源MAC 地址任意目的地址任意目的MAC 地地址的址的tagged-eth2，且其第，且其第15 16 个字节分别为个字节分别为0 x08 ，0 x0 的包通过的包通过Switch(Config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 14 2 0800 企业网综合实战配置命名扩展配置命名扩展MAC访问列表的步骤访问列表的步骤创建一个命名扩展创建一个命名扩展MAC

49、访问列表访问列表 指定多条指定多条permit 或或deny 规则规则 开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建一个命名扩展创建一个命名扩展IP 访问列表访问列表命令：命令：Mac-access-list extended 说明：说明： name为访问列表的名字，字符串长度为为访问列表的名字，字符串长度为116个个字符，第一个字符不能为数字。字符，第一个字符不能为数字。举例：创建一个名为举例：创建一个名为test的扩展的扩展mac访问列表访问列表Mac-access-list extend

50、ed test 企业网综合实战指定多条指定多条permit 或或deny 规则规则命令：命令： deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-eth2 ethertype protocol-mask deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | tagged-eth2 cos vlanId 企业网综合实战指定多条指定

51、多条permit 或或deny 规则规则命令：命令：deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-802.3deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | tagged-802.3 cos vlanId 企业网综合实战指定多条指定多条permit 或或deny 规则规则命令：命令：deny|permit any-sou

52、rce -mac|host-source-mac | any-destination-mac|host-destination-mac | cos vlanId ethertype 企业网综合实战说明说明 ：cos-val: cos 值，值，0-7；cos-bitmask : cos 掩码，掩码， 0-7 反掩码且掩码反掩码且掩码比特连续；比特连续；vid-value: vlan 号，号，1-4094；vid-bitmask:vlan 掩码，掩码， 0-4095 ，反，反掩码且掩码比特连续；掩码且掩码比特连续；protocol : 特定的以太网协议号，特定的以太网协议号，153665535；p

53、rotocol-bitmask: 协议掩码，协议掩码，065535， 反掩码且掩码比特连续反掩码且掩码比特连续注意：掩码比特连续是指，掩码有效位必须从左第一位注意：掩码比特连续是指，掩码有效位必须从左第一位开始连续有效，不允许中间插入无效位，例如：一个字开始连续有效，不允许中间插入无效位，例如：一个字节的反掩码形式为：节的反掩码形式为：00001111b ；正掩码形式为：；正掩码形式为：1110000；不允许；不允许00010011。企业网综合实战例例1管理员不希望交换机管理员不希望交换机10号端口的网段中号端口的网段中00-12-11-23-xx-xx的的802.3数据报文的发出。数据报文的

54、发出。 配置如下：配置如下：switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac tagged-802.3switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac untagged-802.3switch(Config)#firewall enable switch(Config)#firewall default permitswitc

55、h(Config)#interface ethernet 0/0/10switch(Config-Ethernet0/0/10)#mac access-group 1110 in企业网综合实战MAC-IP 访问列表类型访问列表类型数字扩展数字扩展MAC-IP 访问列表访问列表命名扩展命名扩展MAC-IP 访问列表访问列表企业网综合实战配置数字扩展配置数字扩展MAC-IP访问列表的步骤访问列表的步骤创建数字扩展创建数字扩展MAC-IP 访问列表访问列表开启交换机的包过滤功能，并设置其默认动作开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口将访问列表应用到指定端口企业网综合实战创建

56、数字扩展创建数字扩展MAC-IP 访问列表访问列表命令：命令：access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destination-mac | icmp |any-source |host-source |any-destination| host-destination precedence tos time -range access-list deny|permit any-source -mac| host-source-mac | any-destination-

57、mac|host-destination-mac | igmp |any-source|host-source |any-destination| host-destination precedence tos time -range 企业网综合实战access-list deny|permit any-source -mac|host-source-mac | any-destination-mac| host-destination-mac | tcp |any-source| host-source s-port |any-destination|host-destination d-p

58、ort ack+fin+psh+rst+urg+syn precedence tos time -range access-list deny|permitany-source -mac| host-source-mac |any-destination-mac| host-destination-mac| udp |any-source| host-source s-port |any-destination| host-destination d-port precedence tos time-range 企业网综合实战access-list deny|permit any-source

59、 -mac| host-source-mac | any-destination-mac|host-destination-mac | eigrp|gre|igrp|ip|ipinip|ospf| |any-source|host-source |any-destination| host-destination precedence tostime -range企业网综合实战参数：参数：access-list-number 访问表号，取值访问表号，取值31003199 ；protocol 名字或名字或IP 协议的号。它可以是关键字协议的号。它可以是关键字 eigrp, gre, icmp,

60、igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表示也可以是表示IP 协议号的协议号的0 到到255 的一个整数。的一个整数。为了匹配任何为了匹配任何Internet 协议（包括协议（包括ICMP，TCP 和和UDP）使用关键字）使用关键字ip。企业网综合实战例：允许源例：允许源MAC 为为00-12-34-45-XX-XX，任意目的，任意目的MAC 地址，源地址，源IP 地址为：地址为： ，55 ， 任意目的任意目的IP 地址，且源端口是地址，且源端口是100，目的端口是，目的端口是40000 的的TCP