锐捷 访问控制列表配置(ACL)

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。 2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络 S5750-24GT/12SFP 软件版本

10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。 ——————————————————————————————————————— 4.2 扩展ACL 配置

提问：如何禁止用户访问单个网页服务器？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list extended 100 ----创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www ----禁止访问web 服务器

S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒

S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒

S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源

S5750(config-ext-nacl)#exit ----退出ACL配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下

——————————————————————————————————————— 4.3 VLAN 之间的ACL 配置 提问：如何禁止VLAN 间互相访问？ 回答：

步骤一：创建vlan10、vlan20、vlan30 锐捷RGNOS CookBook 14

S5750#conf ----进入全局配置模式 S5750(config)#vlan 10 ----创建VLAN10 S5750(config-vlan)#exit ----退出VLAN 配置模式 S5750(config)#vlan 20 ----创建VLAN20 S5750(config-vlan)#exit ----退出VLAN 配置模式 S5750(config)#vlan 30 ----创建VLAN30 S5750(config-vlan)#exit ----退出VLAN 配置模式 步骤二：将端口加入各自vlan

S5750(config)# interface range gigabitEthernet 0/1-5 ----进入gigabitEthernet 0/1-5 号端口

S5750(config-if-range)#switchport access vlan 10 ----将端口加划分进vlan10

S5750(config-if-range)#exit ----退出端口配置模式 S5750(config)# interface range gigabitEthernet 0/6-10 ----进入gigabitEthernet 0/6-10 号端口

S5750(config-if-range)#switchport access vlan 20 ----将端口加划分进vlan20

S5750(config-if-range)#exit ----退出端口配置模式 S5750(config)# interface range gigabitEthernet 0/11-15 ----进入gigabitEthernet 0/11-15 号端口

S5750(config-if-range)#switchport access vlan 30 ----将端口加划分进vlan30

S5750(config-if-range)#exit ----退出端口配置模式 步骤三：配置vlan10、vlan20、vlan30 的网关IP 地址 S5750(config)#interface vlan 10 ----创建vlan10 的SVI 接口 S5750(config-if)#ip address 192.168.10.1 255.255.255.0 ----配置VLAN10 的网关

S5750(config-if)#exit ----退出端口配置模式

S5750(config)#interface vlan 20 ----创建vlan10 的SVI 接口 S5750(config-if)#ip address 192.168.20.1 255.255.255.0 锐捷RGNOS CookBook 15

----配置VLAN10 的网关

S5750(config-if)#exit ----退出端口配置模式

S5750(config)#interface vlan 30 ----创建vlan10 的SVI 接口 S5750(config-if)#ip address 192.168.30.1 255.255.255.0 ----配置VLAN10 的网关

S5750(config-if)#exit ----退出端口配置模式

步骤四：创建ACL，使vlan20 能访问vlan10，而vlan30 不能访问vlan10

S5750(config)#ip access-list extended deny30 ----定义扩展ACL S5750(config-ext-nacl)#deny 192.168.10.0 0.0.0.255

----拒绝vlan30 的用户访问vlan10 资源 S5750(config-ext-nacl)#permit ip any any ----允许vlan30 的用户访问其他任何资源

S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式 步骤五：将ACL 应用到vlan30 的SVI 口in 方向

S5750(config)#interface vlan 30 ----创建vlan30 的SVI 接口 S5750(config-if)#ip access-group deny30 in ----将扩展ACL 应用到vlan30 的SVI 接口下

——————————————————————————————————————— 4.4 单向ACL 的配置

提问：如何实现主机A 可以访问主机B 的FTP 资源，但主机B 无法访问主机A 的FTP 资

ip

192.168.30.0

0.0.0.255

源？？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list extended 100 ----定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn

----禁止主动向A 主机发起TCP 连接

S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源

S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式 锐捷RGNOS CookBook 16

步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入连接B 主机的端口

S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下

S5750(config-if)#end ----退回特权模式 S5750#wr ----保存

注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。

源？？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list extended 100 ----定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn

----禁止主动向A 主机发起TCP 连接

S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源

S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式 锐捷RGNOS CookBook 16

步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入连接B 主机的端口

S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下

S5750(config-if)#end ----退回特权模式 S5750#wr ----保存

注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。

本文来源：https://www.bwwdw.com/article/btlg.html