锐捷交换机
发布网友
发布时间:2022-04-22 00:38
共1个回答
热心网友
时间:2023-12-01 14:10
标准ACL配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释:
1. S1900系列、S20系列交换机不支持基于硬件的ACL。
2. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2(2)为例。
单向ACL的配置
提问:如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源??
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
----禁止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
S5750(config-if)#end ----退回特权模式
S5750#wr ----保存
注释:单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测。
[分享]4.2 扩展ACL配置 Post By:2008-12-1 16:18:00
扩展ACL配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
