三层交换机访问控制列表ACL的配置课件

三层交换机

访问列表ACL的配置三层交换机访问控制列表ACL的配置ACL是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。ACL是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，ACL可以有如下分类：根据过滤信息：ipaccess-list（三层以上信息），macaccess-list（二层信息），mac-ipaccess-list（二层以上信息）。根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。根据命名方式：数字(numbered)和命名(named)三层交换机访问控制列表ACL的配置IPACL（1）配置数字标准IP访问列表（2）配置数字扩展IP访问列表（3）配置命名标准IP访问列表（4）配置命名扩展IP访问列表MACACL（1）配置数字标准MAC访问列表（2）配置数字扩展MAC访问列表（3）配置命名扩展MAC访问列表MAC-IP（1）配置数字扩展MAC-IP访问列表（2）配置命名扩展MAC-IP访问列表三层交换机访问控制列表ACL的配置IP访问列表类型命名标准IP访问列表命名扩展IP访问列表数字标准IP访问列表数字扩展IP访问列表基于时间的访问列表三层交换机访问控制列表ACL的配置配置命名标准IP访问列表的步骤创建一个命名标准IP访问列表指定多条permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个命名标准IP访问列表命令：ipaccess-liststandard<name>

说明：

name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。举例：创建一个名为test的标准IP访问列表ipaccess-liststandardtest

三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令：deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}说明：

sIpAddr为源IP地址，sMask为源IP的反掩码。举例：允许源地址为/24的数据包通过，拒绝源地址为的数据包通过。Permit55

Denyhost-source三层交换机访问控制列表ACL的配置开启交换机的包过滤功能相关命令：Firewallenable

作用：开启交换机的包过滤功能（即防火墙功能）Firewalldisable

作用：关闭交换机的包过滤功能说明在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上；使防火墙不起作用后将删除端口上绑定的所有ACL。三层交换机访问控制列表ACL的配置设置包过滤的默认动作相关命令：Firewalldefaultpermit

作用：设置其默认动作为允许Firewalldefaultdeny

作用：设置其默认动作为拒绝说明此命令只影响端口入口方向的IP包，其余情况下数据包均可通过交换机。三层交换机访问控制列表ACL的配置将访问列表应用到指定端口命令：Interface<interface>Ipaccess-group<access-list-name>in|out作用：在端口的某个方向上应用一条access-list说明一个端口可以绑定一条入口规则和一条出口规则；ACL绑定到出口时只能包含deny规则；如果是堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。三层交换机访问控制列表ACL的配置

总结：对ACL中的表项的检查是自上而下的，只要匹配一条表项，对此ACL的检查就马上结束。端口特定方向上没有绑定ACL或没有任何ACL表项匹配时，才会使用默认规则。每个端口入口和出口可以各绑定一条IPACL。当一条ACL被绑定到端口出口方向时，只能包含deny表项。可以配置ACL拒绝某些ICMP报文通过以防止“冲击波”等病毒攻击。对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。三层交换机访问控制列表ACL的配置标准访问列表应用举例要求：PC1()不能访问服务器server1()和server2()，PC2()可以访问。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。三层交换机访问控制列表ACL的配置switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#denyhost-source#exit#inte0/0/23#ipaccess-grouppc1toserver1outSwitch(config)#ipaccess-liststandardpc1toserver2#denyhost-source#exit#inte0/0/24#ipaccess-grouppc1toserver2out三层交换机访问控制列表ACL的配置配置命名扩展IP访问列表的步骤创建一个命名扩展IP访问列表指定多条permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个命名扩展IP访问列表命令：ipaccess-listextended<name>

说明：

name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。举例：创建一个名为test的扩展IP访问列表ipaccess-listextendedtest

三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令（过滤ICMP数据包）：deny|permiticmp<sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>}|any-destination|host-destination<dIpAddr>[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time–range<time-range-name>]说明<icmp-type>，icmp的类型，0－255；<icmp-code>，icmp的协议编号，0－255；<prec>，IP优先级，0－7；<tos>，tos值，0-15time-range-name>，时间范围名称。三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令（过滤IGMP数据包）：deny|permitigmp<sIpAddr><sMask>|any-source|{host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>]说明<igmp-type>，igmp的类型，0---255三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令（过滤TCP数据包）：deny|permittcp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]说明<sPort>，源端口号，0-65535；<dPort>，目的端口号，0-65535。三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令（过滤UDP数据包）：deny|permitudp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][precedence<prec>][tos<tos>][time-range<time-range-name>]三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令（过滤IP等数据包）：deny|permiteigrp|gre|igrp|ipinip|ip|<int><sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[precedence<prec>][tos<tos>][time–range<time-range-name>]三层交换机访问控制列表ACL的配置举例：创建名为udpFlow的扩展访问列表。拒绝igmp报文通过，允许目的地址为

、目的端口为32的udp包通过。

#ipaccess-listextendedudpFlow#denyigmpany-sourceany-destination#permitudpany-sourcehost-destinationdPort32三层交换机访问控制列表ACL的配置命名扩展IP访问列表应用举例要求：允许PC1访问server的Telnet服务，但不能ping通它；拒绝PC2访问server的Telnet服务，但能ping通它。三层交换机访问控制列表ACL的配置在5526交换机上进行配置Ipaccess-listextendedpc1toserverPermittcp55host-destination54dport23Denyicmphost-sourcehost-destination54Ipaccess-listextendedpc2toserverdenyicmphost-sourcehost-destination54Permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-grouppc1toserverinInterfacee0/0/2Ipaccess-grouppc2toserverin三层交换机访问控制列表ACL的配置配置数字标准IP访问列表的步骤创建一个数字标准IP访问列表，并指定permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个数字标准IP访问列表命令：access-list<num>deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}

说明：

num为访问列表的数字编号，取值1—99。sIpAddr为源IP地址，sMask为源IP的反掩码。如果已有此访问列表，则增加一条规则。举例：创建一个编号为1的标准IP访问列表，允许网段的数据通过。access-list1permit55三层交换机访问控制列表ACL的配置数字标准访问列表应用举例要求：PC1()不能访问服务器server1()和server2()，PC2()可以访问。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。三层交换机访问控制列表ACL的配置switch#confSwitch(config)#access-list1denyhost-source#exit#inte0/0/23#ipaccess-group1outSwitch(config)#access-list2denyhost-source#exit#inte0/0/24#ipaccess-group2out三层交换机访问控制列表ACL的配置配置数字扩展IP访问列表的步骤创建一个数字扩展IP访问列表，并指定permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个数字标准IP访问列表命令：access-list<num>deny|permit……

说明：

num为访问列表的数字编号，取值100—199。sIpAddr为源IP地址，sMask为源IP的反掩码。如果已有此访问列表，则增加一条规则。举例：创建一个编号为101的扩展IP访问列表，允许网段的主机访问ftp服务器。access-list101permittcp55

host-destinationdport21

三层交换机访问控制列表ACL的配置数字扩展IP访问列表应用举例要求：允许PC1访问server的Telnet服务，但不能ping通它；拒绝PC2访问server的Telnet服务，但能ping通它。三层交换机访问控制列表ACL的配置在5526交换机上进行配置access-list101permittcp55host-destination54dport23access-list101denyicmphost-sourcehost-destination54access-list102denyicmphost-sourcehost-destination54access-list102permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-group101inInterfacee0/0/2Ipaccess-group102in三层交换机访问控制列表ACL的配置基于时间的访问控制列表概述可以根据一天中的不同时间，或者根据一个星期中的不同日期，或者二者相结合，来控制对网络数据包的转发。实现基于时间的访问列表的操作步骤定义一个时间范围在访问列表中引用时间范围三层交换机访问控制列表ACL的配置基于时间的访问控制列表的配置第一步：时间范围命名time-range<时间范围名称>第二步：定义具体的时间范围定义绝对时间范围absoluteAbsolute-periodic定义周期、重复使用的时间范围periodic第三步在访问列表中引用时间范围三层交换机访问控制列表ACL的配置说明absolute-periodicMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>PeriodicMonday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday|daily|weekdays|weekend<hh:mm:ss>to<hh:mm:ss>absoluteMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>

或absolutestart<hh:mm:ss><yyyy.mm.dd>end<hh:mm:ss><yyyy.mm.dd>三层交换机访问控制列表ACL的配置说明periodic命令中参数参数描述Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,sunday某一天或某几天的结合daily每天weekdays从星期一到星期五weekend星期六和星期日确保交换机时钟设置准确开始时间必须小于结束时间三层交换机访问控制列表ACL的配置举例：使Tuesday的9:15:30到Saturday的12:30:00时间段内配置生效Switch(Config)#time-rangedc_timerSwitch(Config-Time-Range)#absolute-periodicTuesday9:15:30toSaturday.12:30:00使Monday、Wednesday、Friday和Sunday四天内的14:30:00到16:45:00时间段配置生效Switch(Config-Time-Range)#periodicMondayWednesdayFriday

Sunday14:30:00to16:45:00三层交换机访问控制列表ACL的配置基于时间访问列表应用举例要求：限制网段的主机只能在2007年6月1日至2008年12月31日内的星期六的早上7:00到星期日的下午5:00进行WWW访问。三层交换机访问控制列表ACL的配置Route-config#time-rangeallow-wwwRoute-config-time-range#absolutestart7:00:002007.6.1end17:00:002008.12.31Route-config-time-range#periodicweekend7:00:00to17:00:00Route-config#ipaccess-listextendedtimeaclRoute-config-ext-nacl#permittcp55any-destinationdport80time-rangeallow-wwwRoute-config#firewallenableRoute-config#firewalldefaultpermitRoute-config#intE0/0/1Route-config-f0/1#ipaccess-grouptimeaclin三层交换机访问控制列表ACL的配置第五次实验ACL配置（一）实验目的理解ACL的作用掌握交换机的命名标准ACL和命名扩展ACL的配置方法掌握交换机的数字标准ACL和数字扩展ACL的配置方法实验内容见《交换机实验》中的实验三十一、三十二。三层交换机访问控制列表ACL的配置实验三十一——标准ACL配置PC1和PC2通过交换机A连到Server（假设为telnet服务器）。要求：不配置ACL时，PC1和PC2都可访问server；配置ACL后，PC1和PC2都不能访问server。只有更改了IP地址后才可访问；三层交换机访问控制列表ACL的配置Ipaccess-liststandardtestDeny155Deny2为什么会有下列结果？PC端口Ping结果Pc1:10/0/1不通Pc1:20/0/1不通Pc2:20/0/9不通Pc2:20/0/9通三层交换机访问控制列表ACL的配置实验三十二——扩展ACL配置PC1和PC2通过交换机A连到Server（假设为telnet服务器）。要求：不配置ACL时，PC1和PC2都可访问server；配置ACL后，PC2不能访问server。只有更改了IP地址后才可访问；三层交换机访问控制列表ACL的配置Ipaccess-listextendedtestDenytcphost-source2host-destinationdport23为什么会有下列结果？PC端口telnet结果Pc1:10/0/1通Pc2:20/0/9不通Pc2:20/0/9通三层交换机访问控制列表ACL的配置第六次实验——ACL配置（二）实验目的进一步熟悉和掌握交换机的ACL配置。实验内容见《交换实验指导》实验三十三、三十四三层交换机访问控制列表ACL的配置实验三十三——单向访问控制的实现PC1和PC2通过交换机A相连。要求：不配置ACL时，PC1和PC2可以互访；配置ACL后，PC1可以访问PC2，但PC2不能访问PC1（如ping）。三层交换机访问控制列表ACL的配置Ipaccess-listextendedtestDenyicmphost-source2host-destination18Inte0/0/1Ipaccess-grouptestin三层交换机访问控制列表ACL的配置实验三十四——配置访问列表过滤病毒目的了解病毒的工作原理，掌握常见病毒的特征；掌握过滤病毒的方法要求通过配置，使交换机能隔离病毒。三层交换机访问控制列表ACL的配置病毒运行时会不停地利用IP扫描技术寻找网络上系统的漏洞进行攻击，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、文件丢失或被破坏、不停重启、甚至导致系统崩溃等。病毒常会利用135、139、69、4444、445等端口。三层交换机访问控制列表ACL的配置第一步：创建aclipaccess-listextendedantivirus第二步：制定过滤规则//禁pingdenyicmpany-sourceany-destination//用于控制Blaster蠕虫的传播denyudpany-sourceany-destinationd-port69denytcpany-sourceany-destinationd-port4444//用于控制冲击波病毒的扫描和攻击denytcpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port137denyudpany-sourceany-destinationd-porteq138denytcpany-sourceany-destinationd-port139denyudpany-sourceany-destinationd-port139三层交换机访问控制列表ACL的配置denytcpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port5554denytcpany-sourceany-destinationd-port9995denytcpany-sourceany-destinationd-port9996启用防火墙功能，并配置默认规则FirewallenableFirewalldefaultpermit将ACL应用于端口Ipaccess-groupantivirusin三层交换机访问控制列表ACL的配置MAC访问列表类型数字标准MAC访问列表数字扩展MAC访问列表命名扩展MAC访问列表三层交换机访问控制列表ACL的配置配置数字标准MAC访问列表的步骤创建数字标准MAC访问列表 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建数字标准MAC访问列表命令：access-list<access-list-number>deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>功能：定义一条标准数字MACACL规则参数：<access-list-number>访问表号，取值700到799；<smac>，<host_smac>源MAC地址；<smac-mask>源MAC地址的掩码（反掩码）说明：当用户第一次指定特定<num>时，创建此编号的ACL，之后在此ACL中添加表项。举例：允许源MAC地址为00-00-XX-XX-00-01的数据包通过，拒绝源地址为00-00-00-XX-00-ab的数据包通过。Switch(Config)#access-list700permit00-00-00-00-00-0100-00-FF-FF-00-01Switch(Config)#access-list700deny00-00-00-00-00-ab00-00-00-FF-00-ab三层交换机访问控制列表ACL的配置配置数字扩展MAC访问列表的步骤创建数字扩展MAC访问列表 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建数字扩展MAC访问列表命令：access-list<access-list-number>{deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3}[<offset1><length1><value1>[<offset2><length2><value2>[<offset3><length3><value3>[<offset4><length4><value4>]]]]参数：<access-list-number>访问表号，取值1100－1199；untagged-eth2未标记的ethernetII包格式；tagged-eth2标记的ethernetII包格式；untagged-802.3未标记的ethernet802.3包格式；tagged-802.3标记的ethernet802.3包格式；Offset(x)从包头开始起的偏移量，范围为（12-79）；Length(x)长度为1-4；Value(x)16进制数表示，取值范围：当Length(x)=1为0-ff,当Length(x)=2为0-ffff,当Length(x)=3为0-ffffff,当Length(x)=4为0-ffffffff；对于Offset(x)，对不同的数据帧类型，它的取值范围不同：对untagged-eth2类型帧：<12～51>，对untagged-802.3类型帧：<12～55>，对tagged-eth2类型帧：<12～59>，对tagged-802.3类型帧：<12～63>三层交换机访问控制列表ACL的配置举例：允许任意源MAC地址任意目的MAC地址的tagged-eth2，且其第1516个字节分别为0x08，0x0的包通过Switch(Config)#access-list1100permitany-source-macany-destination-mactagged-eth21420800三层交换机访问控制列表ACL的配置配置命名扩展MAC访问列表的步骤创建一个命名扩展MAC访问列表指定多条permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个命名扩展IP访问列表命令：Mac-access-listextended<name>

说明：

name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。举例：创建一个名为test的扩展mac访问列表Mac-access-listextendedtest

三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令：

deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-eth2[ethertype<protocol>[protocol-mask]]]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-802.3]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-802.3[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]]三层交换机访问控制列表ACL的配置指定多条permit或deny规则命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]三层交换机访问控制列表ACL的配置说明：cos-val:cos值，0-7；cos-bitmask:cos掩码，0-7反掩码且掩码比特连续；vid-value:vlan号，1-4094；vid-bitmask:vlan掩码，0-4095，反掩码且掩码比特连续；protocol:特定的以太网协议号，1536－65535；protocol-bitmask:协议掩码，0－65535，反掩码且掩码比特连续注意：掩码比特连续是指，掩码有效位必须从左第一位开始连续有效，不允许中间插入无效位，例如：一个字节的反掩码形式为：00001111b；正掩码形式为：1110000；不允许00010011。三层交换机访问控制列表ACL的配置例1．管理员不希望交换机10号端口的网段中00-12-11-23-xx-xx的802.3数据报文的发出。

配置如下：

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-mactagged-802.3

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-macuntagged-802.3

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#macaccess-group1110in

三层交换机访问控制列表ACL的配置MAC-IP访问列表类型数字扩展MAC-IP访问列表命名扩展MAC-IP访问列表三层交换机访问控制列表ACL的配置配置数字扩展MAC-IP访问列表的步骤创建数字扩展MAC-IP访问列表 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建数字扩展MAC-IP访问列表命令：access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}icmp{<source><source-wildcard>|any-source|host-source<source-host-ip>}{<destination><destination-wildcard>|any-destination|host-destination<destination-host-ip>}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}igmp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<igmp-type>][precedence<precedence>][tos<tos>][time-range<time-range-name>]三层交换机访问控制列表ACL的配置access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>][time-range<time-range-name>]三层交换机访问控制列表ACL的配置access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>][tos<tos>][time-range<time-range-name>]三层交换机访问控制列表ACL的配置参数：access-list-number访问表号，取值3100－3199；protocol名字或IP协议的号。它可以是关键字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tcp,orudp,也可以是表示IP协议号的0到255的一个整数。为了匹配任何Internet协议（包括ICMP，TCP和UDP）使用关键字ip。三层交换机访问控制列表ACL的配置例：允许源MAC为00-12-34-45-XX-XX，任意目的MAC地址，源IP地址为：

，55，任意目的IP地址，且源端口是100，目的端口是40000的TCP报文通过。Switch(Config)#access-list3199permit00-12-34-45-67-0000-00-00-00-FF-FFany-destination-mactcp55s-port100any-destinationd-port40000三层交换机访问控制列表ACL的配置举例：拒绝任意源MAC地址及目的MAC地址，任意源IP地址及目的IP地址，且源端口是100，目的端口是40000的UDP报文通过。Switch(Config)#access-list3100denyany-source-macany-destination-macudpany-sources-port100any-destinationd-port40000三层交换机访问控制列表ACL的配置例2.交换机10号端口连接的网段MAC地址是00-11-11-11-xx-xx并且IP地址是4/24的网段，管理员不希望使用FTP，也不允许外网PING此网段的任何一台主机。配置如下：

switch(Config)#access-list3110deny00-11-11-11-00-0000-00-00-00-ff-ff

any-destination-mactcp455any-destinationd-port21

switch(Config)#access-list3120denyany-source-mac00-11-11-11-00-0000-00-00-00-ff-fficmpany-source455

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110in

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out三层交换机访问控制列表ACL的配置配置命名扩展MAC-IP访问列表的步骤创建一个命名扩展MAC-IP访问列表指定多条permit或deny规则 开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口三层交换机访问控制列表ACL的配置创建一个命名扩展IP访问列表命令：Mac-ip-access-listextended<name>

说明：

name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。三层交换机访问控制列表ACL的配置第七次实验ACL配置（三）实验目的理解交换机的MACACL和MAC-IPACL的作用掌握交换机的MACACL和MAC-IPACL的配置方法实验内容在一台DCS5526交换机上面划分了三个VLAN：Eth0/0/1—VLAN10（接Internet）Eth0/0/2—VLAN20（）Eth0/0/3—DCS3926，3926上的端口全部划入VLAN30

现在要在非工作时间，VLAN30中的PC不能接入Internet，请给出其ACL配置。三层交换机访问控制列表ACL的配置步骤建立时间范围建立ACL启用防火墙功能应用于接口三层交换机访问控制列表ACL的配置第八次实验ACL配置（四）实验目的掌握交换机上ACL的配置网络拓扑图如下三层交换机访问控制列表ACL的配置实验内容公司企业网通过Switch实现各部门之间的互连。管理部门由E0/0/4端口接入，技术支援部门由E0/0/3端口接入，研发部门由E0/0/1端口接入。工资查询服务器子网地址，MAC为00e0-fc01-0303，技术支援部门IP为/24，研发部门主机MAC为00e0-fc01-0101。组网需求：1．要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资查询服务器。2．通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为主机发出报文的过滤。3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。三层交换机访问控制列表ACL的配置ACL配置技术某电子商务公司为适应市场的发展组建了一个企业网，其网络拓扑结构如下图所示。该网络逻辑结构上分成核心层和接入层，核心层使用了一台三层交换机。网管员按照各部门的职能将公司内部网络分成了8个VLAN，分别是公司网络设备及网管机VLAN1（/24）、内网服务器VLAN2（/24）、非军事区DMZVLAN3（/24）、财务部VLAN4（/24）、市场部VLAN5（/24）、研发部VLAN6（/24）、接待室VLAN（/24）。每个网段的缺省网关地址由从高位向下分配，其他节点地址均从低位向上分配；例如，接待室VLAN中每一台客户机的网关地址为54，客户机1的IP地址为，客户机2的IP地址为。三层交换机访问控制列表ACL的配置三层交换机访问控制列表ACL的配置【问题1】（2分）通常路由器都支持两种类型的访问控制列表：基本访问控制列表和扩展访问控制列表。请用120字以内的文字说明这两种访问列表之间的区别。【问题2】（2分）该商务公司有