ACL简单介绍与典型配置

ACL 典型配置 1.1 访问控制列表简介 1.1.1 访问控制列表概述 为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的 对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相 应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功 能。 ACL 通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、 目的地址、端口号等。ACL 可应用在交换机全局或端口上，交换机根据ACL 中指定 的条件来检测数据包，从而决定是转发还是丢弃该数据包。 由ACL 定义的数据包匹配规则，还可以在其它需要对流量进行区分的场合引用，如 定义QoS 中的流分类规则时。 一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围 大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。 1.1.2 以太网交换机支持的访问控制列表 在以太网交换机中，访问控制列表分为以下几类： 基于数字标识的基本访问控制列表。 基于名字标识的基本访问控制列表。 基于数字标识的高级访问控制列表。 基于名字标识的高级访问控制列表。 基于数字标识的二层访问控制列表。 基于名字标识的二层访问控制列表。 交换机上对各种访问控制列表的数目限制如下表所示： 项目 数字取值范围 基于数字标识的基本访问控制列表(ip-group) 2000～2999 (只能定义源ip地址段) 基于数字标识的高级访问控制列表(ip-group) 3000～3999 (可以定义源目的ip地址段，和源目的端口号) 基于数字标识的二层访问控制列表(link-group) 4000～4999 (可以定义源目的mac地址，或者vlan号) ACL 访问控制列表典型配置 1.1 组网图 图1 端口ACL 典型组网图 图2 全局ACL 典型组网图 1.2 应用要求 以上组网图中，财经部工资服务器（Serv er）连接在S8500 的g7/1/1 端口，端口ACL 组网图中研发部计算机（PC1）连接在S8500 的e3/1/1 端口上，全局ACL 组网图中研发部计算机（PC）连接在S8500 的g9/1/1 到g9/3/1 共9 个端口上。研发部属于VLAN 10，IP 地址为 10.10.10.0/24，财经部属于VLAN 11，IP 地址为 10.11.11.0/24，其中工资服务器的地址为 10.11.11.11/24。要求正确配置 ACL，限制研发部除 10.10.10.2 与 10.10.10.3 这 2 个地址之外的主机上班时间 8:00 到18:00 访问工资服务器。 1.3 适用产品、版本...