ACL 典型配置 1.1 访问控制列表简介 1.1.1 访问控制列表概述 为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的 对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相 应的数据包通过。访问控制列表(Access Control List,ACL)就是用来实现这些功 能。 ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、 目的地址、端口号等。ACL 可应用在交换机全局或端口上,交换机根据ACL 中指定 的条件来检测数据包,从而决定是转发还是丢弃该数据包。 由ACL 定义的数据包匹配规则,还可以在其它需要对流量进行区分的场合引用,如 定义QoS 中的流分类规则时。 一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围 大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。 1.1.2 以太网交换机支持的访问控制列表 在以太网交换机中,访问控制列表分为以下几类: 基于数字标识的基本访问控制列表。 基于名字标识的基本访问控制列表。 基于数字标识的高级访问控制列表。 基于名字标识的高级访问控制列表。 基于数字标识的二层访问控制列表。 基于名字标识的二层访问控制列表。 交换机上对各种访问控制列表的数目限制如下表所示: 项目 数字取值范围 基于数字标识的基本访问控制列表(ip-group) 2000~2999 (只能定义源ip地址段) 基于数字标识的高级访问控制列表(ip-group) 3000~3999 (可以定义源目的ip地址段,和源目的端口号) 基于数字标识的二层访问控制列表(link-group) 4000~4999 (可以定义源目的mac地址,或者vlan号) ACL 访问控制列表典型配置 1.1 组网图 图1 端口ACL 典型组网图 图2 全局ACL 典型组网图 1.2 应用要求 以上组网图中,财经部工资服务器(Serv er)连接在S8500 的g7/1/1 端口,端口ACL 组网图中研发部计算机(PC1)连接在S8500 的e3/1/1 端口上,全局ACL 组网图中研发部计算机(PC)连接在S8500 的g9/1/1 到g9/3/1 共9 个端口上。研发部属于VLAN 10,IP 地址为 10.10.10.0/24,财经部属于VLAN 11,IP 地址为 10.11.11.0/24,其中工资服务器的地址为 10.11.11.11/24。要求正确配置 ACL,限制研发部除 10.10.10.2 与 10.10.10.3 这 2 个地址之外的主机上班时间 8:00 到18:00 访问工资服务器。 1.3 适用产品、版本...
