二层访问控制列表

二层交换机得acl应该是mac应用访问控制吧 不见得，二层交换机是指根据MAC地址转发数据，但是执行ACL的时候一般能到4层，也就是可以根据源目MAC、源目IP、源目端口号等等。还有基于时间的ACL。较新的网管型交换机CISCO交换机ACL配置方法 最低0.27元开通文库会员，查看完整内容>原发布者:rival2009CISCO交换机的ACL配置练习在通常的网络管理中，我们都希望允许一些连接的访问，而禁止另一些连接的访问，但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大，有多种管理网络的手段，它有内置的ACL(访问控制列表)，因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。利用标准ACL控制网络访问当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。标准ACL的配置语句为：Switch#access-listaccess-list-number（1~99){permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}例1：允许192.168.3.0网络上的主机进行访问：636f7079e799bee5baa631333433623764Switch#access-list1permit192.168.3.00.0.0.255例2：禁止172.10.0.0网络上的简述访问控制列表应用的一般规则 H3C交换机典型访问控制列表（ACL）配置实例一 组网需求：1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。二 组网图：三配置步骤e799bee5baa6e78988e69d8331333361326238：H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置1．根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/3[H3C-vlan20]vlan 30H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2．配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-简述访问控制列表的作用和组成？ 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。IP访问控制列表的分类标准IP访问控制列表当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即思科2811路由器怎么设置二层访问控制列表？ 2811不能针对MAC进行控制,只能针对ip地址的标准访问控制列表和扩展的访问控制列表有什么区别？？ 标准访问控制列表：根据数据包的zd源IP地址来允许或拒绝数据回包。访问控制列表号是1-99。扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或答拒绝数据包。访问控制列表号是100-199。h3c如何配置acl命令 交换机直接用下面的就可以acl number 3000rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0acl number 2000rule permit ip source 1.1.1.1 0acl 2000-3000 只能定义源acl 3000 及以上可以定义源和目标上面是配置实例 permit是允许 deny是拒绝定义之后到接口或端口去下发。Packet in/out 2000路由器的话略有不同你要先fiirwall enable 全局使能防火墙定义ACL 同上面的方法定义ACL接口下发：firewall packet in/out 3000哪两条命令可用来验证访问控制列表的内容和放置位置 验证访问控制列表的命令?4、51、show access-list?2、show access-list number 显示特定列表3、show ip access-list 只显示路由器上配 置的IP访问控制列表4、show ip interface(显示哪些接口配置了 访问控制列表)5、show running-config（显示访问列表和 哪些接口设置了访问列表）如何在交换机上面配置访问控制列表，是在层二交换机上面配置还是层三交换机上面配置，急，谢谢 在接口模式下，添加就可以了interface ethernet 5/1access-list 1access-list 2access-list 3access-list 4access-list 5access-list 6access-list 7access-list 8华为直接用：interface ethernet 5/1acl num 3000思科2811路由器怎么设置二层访问控制列表？ 2811不能针对MAC进行控制,只能针对ip地址的

#路由#h3c交换机配置命令#路由器功能#路由器交换机#通信