锐客网

  1. 首页 > 睿知 > >

实现端口安全的几种机制 端口安全原理( 二 )

经验知识生活经验


在定义ACL时配置了匹配顺序,该匹配顺序也不起作用 。
ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、通过ACL过
滤转发数据等 。
2. ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类 。此时ACL规则的匹
配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配
该规则时系统自动排序,即按“深度优先”的顺序) 。这种情况下用户可以在定义
ACL的时候指定一条ACL中多个规则的匹配顺序 。用户一旦指定某一条ACL的匹
配顺序,就不能再更改该顺序 。只有把该列表中所有的规则全部删除后 , 才能重新
指定其匹配顺序 。
ACL被软件引用的情况包括:对登录用户进行控制时引用ACL等 。
例:(华为 S3526)
ACL 直接下发到硬件中
1. 组网需求
vlan20的网关为交换机的Ethernet1/0/2端口
vlan30的网关为交换机的Ethernet1/0/3端口
交换机通过Ethernet1/0/1端口与外部网络相连
IP地址为192.168.20.10的主机MAC地址为1E-65-9D-2D-21-E2
IP地址为192.168.30.10的主机MAC地址为1C-65-9D-2D-21-E2
禁止192.168.20.10的主机与192.168.30.10的主机通信
2. 组网图
3. 配置步骤
# 修改端口类型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 创建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 设置被禁止通信的主机
[Quidway]acl number 4000 match-order auto
[Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2
[Quidway-acl-link-4000]quit
[Quidway]packet-filter link-group 4000
例:(华为 S3526)
ACL 被上层模块引用
1、需求
某个设备只允许管理员主机进行远程访问,假设管理员主机IP为192.168.2.100
2、配置
# 创建访问控制列表
system-view
[Quidway] acl number 2000 match-order auto
[Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0
[Quidway-acl-basic-2000] rule deny source any
[Quidway-acl-basic-2000] quit
# 被上层模块引用
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none
[Quidway-ui-vty0-4] acl 2000 inbound
[Quidway-ui-vty0-4]quit

推荐阅读


上一篇:你在想桃子吃是什么梗 网络词汇 你在想屁吃

下一篇:有的人可以暗恋一个人很久,但知道那个人也喜欢自己后,很快就不再喜欢了,这是为什么?