三層交換機

訪問列表ACL的配置三層交換機訪問控制列表ACL的配置ACL是交換機實現的一種數據包過濾機制，通過允許或拒絕特定的數據包進出網絡，可以對網絡訪問進行控制，有效保證網絡的安全運行。ACL是一個有序的語句集，每一條語句對應一條特定的規則(rule)。每條rule包括了過濾信息及匹配此rule時應采取的動作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協議號、tcp端口等條件的有效組合。根據不同的標準，ACL可以有如下分類：根據過濾信息：ipaccess-list（三層以上信息），macaccess-list（二層信息），mac-ipaccess-list（二層以上信息）。根據配置的復雜程度：標準(standard)和擴展(extended)，擴展方式可以指定更加細致過濾信息。根據命名方式：數字(numbered)和命名(named)三層交換機訪問控制列表ACL的配置IPACL（1）配置數字標準IP訪問列表（2）配置數字擴展IP訪問列表（3）配置命名標準IP訪問列表（4）配置命名擴展IP訪問列表MACACL（1）配置數字標準MAC訪問列表（2）配置數字擴展MAC訪問列表（3）配置命名擴展MAC訪問列表MAC-IP（1）配置數字擴展MAC-IP訪問列表（2）配置命名擴展MAC-IP訪問列表三層交換機訪問控制列表ACL的配置IP訪問列表類型命名標準IP訪問列表命名擴展IP訪問列表數字標準IP訪問列表數字擴展IP訪問列表基于時間的訪問列表三層交換機訪問控制列表ACL的配置配置命名標準IP訪問列表的步驟創建一個命名標準IP訪問列表指定多條permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個命名標準IP訪問列表命令：ipaccess-liststandard<name>

說明：

name為訪問列表的名字，字符串長度為1—16個字符，第一個字符不能為數字。舉例：創建一個名為test的標準IP訪問列表ipaccess-liststandardtest

三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令：deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}說明：

sIpAddr為源IP地址，sMask為源IP的反掩碼。舉例：允許源地址為/24的數據包通過，拒絕源地址為的數據包通過。Permit55

Denyhost-source三層交換機訪問控制列表ACL的配置開啟交換機的包過濾功能相關命令：Firewallenable

作用：開啟交換機的包過濾功能（即防火墻功能）Firewalldisable

作用：關閉交換機的包過濾功能說明在允許和禁止防火墻時，都可以設置訪問規則。但只有在防火墻起作用時才可以將規則應用至特定端口的特定方向上；使防火墻不起作用后將刪除端口上綁定的所有ACL。三層交換機訪問控制列表ACL的配置設置包過濾的默認動作相關命令：Firewalldefaultpermit

作用：設置其默認動作為允許Firewalldefaultdeny

作用：設置其默認動作為拒絕說明此命令只影響端口入口方向的IP包，其余情況下數據包均可通過交換機。三層交換機訪問控制列表ACL的配置將訪問列表應用到指定端口命令：Interface<interface>Ipaccess-group<access-list-name>in|out作用：在端口的某個方向上應用一條access-list說明一個端口可以綁定一條入口規則和一條出口規則；ACL綁定到出口時只能包含deny規則；如果是堆疊交換機，則只能在入口綁定ACL，不能在出口綁定ACL。三層交換機訪問控制列表ACL的配置

總結：對ACL中的表項的檢查是自上而下的，只要匹配一條表項，對此ACL的檢查就馬上結束。端口特定方向上沒有綁定ACL或沒有任何ACL表項匹配時，才會使用默認規則。每個端口入口和出口可以各綁定一條IPACL。當一條ACL被綁定到端口出口方向時，只能包含deny表項。可以配置ACL拒絕某些ICMP報文通過以防止“沖擊波”等病毒攻擊。對于堆疊交換機，則只能在入口綁定ACL，不能在出口綁定ACL。三層交換機訪問控制列表ACL的配置標準訪問列表應用舉例要求：PC1()不能訪問服務器server1()和server2()，PC2()可以訪問。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。三層交換機訪問控制列表ACL的配置switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#denyhost-source#exit#inte0/0/23#ipaccess-grouppc1toserver1outSwitch(config)#ipaccess-liststandardpc1toserver2#denyhost-source#exit#inte0/0/24#ipaccess-grouppc1toserver2out三層交換機訪問控制列表ACL的配置配置命名擴展IP訪問列表的步驟創建一個命名擴展IP訪問列表指定多條permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個命名擴展IP訪問列表命令：ipaccess-listextended<name>

說明：

name為訪問列表的名字，字符串長度為1—16個字符，第一個字符不能為數字。舉例：創建一個名為test的擴展IP訪問列表ipaccess-listextendedtest

三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令（過濾ICMP數據包）：deny|permiticmp<sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>}|any-destination|host-destination<dIpAddr>[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time–range<time-range-name>]說明<icmp-type>，icmp的類型，0－255；<icmp-code>，icmp的協議編號，0－255；<prec>，IP優先級，0－7；<tos>，tos值，0-15time-range-name>，時間范圍名稱。三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令（過濾IGMP數據包）：deny|permitigmp<sIpAddr><sMask>|any-source|{host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>]說明<igmp-type>，igmp的類型，0---255三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令（過濾TCP數據包）：deny|permittcp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]說明<sPort>，源端口號，0-65535；<dPort>，目的端口號，0-65535。三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令（過濾UDP數據包）：deny|permitudp<sIpAddr><sMask>|any-source|host-source<sIpAddr>[sPort<sPort>]<dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[dPort<dPort>][precedence<prec>][tos<tos>][time-range<time-range-name>]三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令（過濾IP等數據包）：deny|permiteigrp|gre|igrp|ipinip|ip|<int><sIpAddr><sMask>|any-source|host-source<sIpAddr><dIpAddr><dMask>|any-destination|host-destination<dIpAddr>[precedence<prec>][tos<tos>][time–range<time-range-name>]三層交換機訪問控制列表ACL的配置舉例：創建名為udpFlow的擴展訪問列表。拒絕igmp報文通過，允許目的地址為

、目的端口為32的udp包通過。

#ipaccess-listextendedudpFlow#denyigmpany-sourceany-destination#permitudpany-sourcehost-destinationdPort32三層交換機訪問控制列表ACL的配置命名擴展IP訪問列表應用舉例要求：允許PC1訪問server的Telnet服務，但不能ping通它；拒絕PC2訪問server的Telnet服務，但能ping通它。三層交換機訪問控制列表ACL的配置在5526交換機上進行配置Ipaccess-listextendedpc1toserverPermittcp55host-destination54dport23Denyicmphost-sourcehost-destination54Ipaccess-listextendedpc2toserverdenyicmphost-sourcehost-destination54Permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-grouppc1toserverinInterfacee0/0/2Ipaccess-grouppc2toserverin三層交換機訪問控制列表ACL的配置配置數字標準IP訪問列表的步驟創建一個數字標準IP訪問列表，并指定permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個數字標準IP訪問列表命令：access-list<num>deny|permit{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}

說明：

num為訪問列表的數字編號，取值1—99。sIpAddr為源IP地址，sMask為源IP的反掩碼。如果已有此訪問列表，則增加一條規則。舉例：創建一個編號為1的標準IP訪問列表，允許網段的數據通過。access-list1permit55三層交換機訪問控制列表ACL的配置數字標準訪問列表應用舉例要求：PC1()不能訪問服務器server1()和server2()，PC2()可以訪問。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。三層交換機訪問控制列表ACL的配置switch#confSwitch(config)#access-list1denyhost-source#exit#inte0/0/23#ipaccess-group1outSwitch(config)#access-list2denyhost-source#exit#inte0/0/24#ipaccess-group2out三層交換機訪問控制列表ACL的配置配置數字擴展IP訪問列表的步驟創建一個數字擴展IP訪問列表，并指定permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個數字標準IP訪問列表命令：access-list<num>deny|permit……

說明：

num為訪問列表的數字編號，取值100—199。sIpAddr為源IP地址，sMask為源IP的反掩碼。如果已有此訪問列表，則增加一條規則。舉例：創建一個編號為101的擴展IP訪問列表，允許網段的主機訪問ftp服務器。access-list101permittcp55

host-destinationdport21

三層交換機訪問控制列表ACL的配置數字擴展IP訪問列表應用舉例要求：允許PC1訪問server的Telnet服務，但不能ping通它；拒絕PC2訪問server的Telnet服務，但能ping通它。三層交換機訪問控制列表ACL的配置在5526交換機上進行配置access-list101permittcp55host-destination54dport23access-list101denyicmphost-sourcehost-destination54access-list102denyicmphost-sourcehost-destination54access-list102permittcphost-sourcehost-destination54FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-group101inInterfacee0/0/2Ipaccess-group102in三層交換機訪問控制列表ACL的配置基于時間的訪問控制列表概述可以根據一天中的不同時間，或者根據一個星期中的不同日期，或者二者相結合，來控制對網絡數據包的轉發。實現基于時間的訪問列表的操作步驟定義一個時間范圍在訪問列表中引用時間范圍三層交換機訪問控制列表ACL的配置基于時間的訪問控制列表的配置第一步：時間范圍命名time-range<時間范圍名稱>第二步：定義具體的時間范圍定義絕對時間范圍absoluteAbsolute-periodic定義周期、重復使用的時間范圍periodic第三步在訪問列表中引用時間范圍三層交換機訪問控制列表ACL的配置說明absolute-periodicMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>PeriodicMonday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday|daily|weekdays|weekend<hh:mm:ss>to<hh:mm:ss>absoluteMonday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday<hh:mm:ss>toMonday.|Tuesday.|Wednesday.|Thursday.|Friday.|Saturday.|Sunday.<hh:mm:ss>

或absolutestart<hh:mm:ss><yyyy.mm.dd>end<hh:mm:ss><yyyy.mm.dd>三層交換機訪問控制列表ACL的配置說明periodic命令中參數參數描述Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,sunday某一天或某幾天的結合daily每天weekdays從星期一到星期五weekend星期六和星期日確保交換機時鐘設置準確開始時間必須小于結束時間三層交換機訪問控制列表ACL的配置舉例：使Tuesday的9:15:30到Saturday的12:30:00時間段內配置生效Switch(Config)#time-rangedc_timerSwitch(Config-Time-Range)#absolute-periodicTuesday9:15:30toSaturday.12:30:00使Monday、Wednesday、Friday和Sunday四天內的14:30:00到16:45:00時間段配置生效Switch(Config-Time-Range)#periodicMondayWednesdayFriday

Sunday14:30:00to16:45:00三層交換機訪問控制列表ACL的配置基于時間訪問列表應用舉例要求：限制網段的主機只能在2007年6月1日至2008年12月31日內的星期六的早上7:00到星期日的下午5:00進行WWW訪問。三層交換機訪問控制列表ACL的配置Route-config#time-rangeallow-wwwRoute-config-time-range#absolutestart7:00:002007.6.1end17:00:002008.12.31Route-config-time-range#periodicweekend7:00:00to17:00:00Route-config#ipaccess-listextendedtimeaclRoute-config-ext-nacl#permittcp55any-destinationdport80time-rangeallow-wwwRoute-config#firewallenableRoute-config#firewalldefaultpermitRoute-config#intE0/0/1Route-config-f0/1#ipaccess-grouptimeaclin三層交換機訪問控制列表ACL的配置第五次實驗ACL配置（一）實驗目的理解ACL的作用掌握交換機的命名標準ACL和命名擴展ACL的配置方法掌握交換機的數字標準ACL和數字擴展ACL的配置方法實驗內容見《交換機實驗》中的實驗三十一、三十二。三層交換機訪問控制列表ACL的配置實驗三十一——標準ACL配置PC1和PC2通過交換機A連到Server（假設為telnet服務器）。要求：不配置ACL時，PC1和PC2都可訪問server；配置ACL后，PC1和PC2都不能訪問server。只有更改了IP地址后才可訪問；三層交換機訪問控制列表ACL的配置Ipaccess-liststandardtestDeny155Deny2為什么會有下列結果？PC端口Ping結果Pc1:10/0/1不通Pc1:20/0/1不通Pc2:20/0/9不通Pc2:20/0/9通三層交換機訪問控制列表ACL的配置實驗三十二——擴展ACL配置PC1和PC2通過交換機A連到Server（假設為telnet服務器）。要求：不配置ACL時，PC1和PC2都可訪問server；配置ACL后，PC2不能訪問server。只有更改了IP地址后才可訪問；三層交換機訪問控制列表ACL的配置Ipaccess-listextendedtestDenytcphost-source2host-destinationdport23為什么會有下列結果？PC端口telnet結果Pc1:10/0/1通Pc2:20/0/9不通Pc2:20/0/9通三層交換機訪問控制列表ACL的配置第六次實驗——ACL配置（二）實驗目的進一步熟悉和掌握交換機的ACL配置。實驗內容見《交換實驗指導》實驗三十三、三十四三層交換機訪問控制列表ACL的配置實驗三十三——單向訪問控制的實現PC1和PC2通過交換機A相連。要求：不配置ACL時，PC1和PC2可以互訪；配置ACL后，PC1可以訪問PC2，但PC2不能訪問PC1（如ping）。三層交換機訪問控制列表ACL的配置Ipaccess-listextendedtestDenyicmphost-source2host-destination18Inte0/0/1Ipaccess-grouptestin三層交換機訪問控制列表ACL的配置實驗三十四——配置訪問列表過濾病毒目的了解病毒的工作原理，掌握常見病毒的特征；掌握過濾病毒的方法要求通過配置，使交換機能隔離病毒。三層交換機訪問控制列表ACL的配置病毒運行時會不停地利用IP掃描技術尋找網絡上系統的漏洞進行攻擊，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統操作異常、文件丟失或被破壞、不停重啟、甚至導致系統崩潰等。病毒常會利用135、139、69、4444、445等端口。三層交換機訪問控制列表ACL的配置第一步：創建aclipaccess-listextendedantivirus第二步：制定過濾規則//禁pingdenyicmpany-sourceany-destination//用于控制Blaster蠕蟲的傳播denyudpany-sourceany-destinationd-port69denytcpany-sourceany-destinationd-port4444//用于控制沖擊波病毒的掃描和攻擊denytcpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port135denyudpany-sourceany-destinationd-port137denyudpany-sourceany-destinationd-porteq138denytcpany-sourceany-destinationd-port139denyudpany-sourceany-destinationd-port139三層交換機訪問控制列表ACL的配置denytcpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port445denyudpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port593denytcpany-sourceany-destinationd-port5554denytcpany-sourceany-destinationd-port9995denytcpany-sourceany-destinationd-port9996啟用防火墻功能，并配置默認規則FirewallenableFirewalldefaultpermit將ACL應用于端口Ipaccess-groupantivirusin三層交換機訪問控制列表ACL的配置MAC訪問列表類型數字標準MAC訪問列表數字擴展MAC訪問列表命名擴展MAC訪問列表三層交換機訪問控制列表ACL的配置配置數字標準MAC訪問列表的步驟創建數字標準MAC訪問列表 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建數字標準MAC訪問列表命令：access-list<access-list-number>deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>功能：定義一條標準數字MACACL規則參數：<access-list-number>訪問表號，取值700到799；<smac>，<host_smac>源MAC地址；<smac-mask>源MAC地址的掩碼（反掩碼）說明：當用戶第一次指定特定<num>時，創建此編號的ACL，之后在此ACL中添加表項。舉例：允許源MAC地址為00-00-XX-XX-00-01的數據包通過，拒絕源地址為00-00-00-XX-00-ab的數據包通過。Switch(Config)#access-list700permit00-00-00-00-00-0100-00-FF-FF-00-01Switch(Config)#access-list700deny00-00-00-00-00-ab00-00-00-FF-00-ab三層交換機訪問控制列表ACL的配置配置數字擴展MAC訪問列表的步驟創建數字擴展MAC訪問列表 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建數字擴展MAC訪問列表命令：access-list<access-list-number>{deny|permitany-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3}[<offset1><length1><value1>[<offset2><length2><value2>[<offset3><length3><value3>[<offset4><length4><value4>]]]]參數：<access-list-number>訪問表號，取值1100－1199；untagged-eth2未標記的ethernetII包格式；tagged-eth2標記的ethernetII包格式；untagged-802.3未標記的ethernet802.3包格式；tagged-802.3標記的ethernet802.3包格式；Offset(x)從包頭開始起的偏移量，范圍為（12-79）；Length(x)長度為1-4；Value(x)16進制數表示，取值范圍：當Length(x)=1為0-ff,當Length(x)=2為0-ffff,當Length(x)=3為0-ffffff,當Length(x)=4為0-ffffffff；對于Offset(x)，對不同的數據幀類型，它的取值范圍不同：對untagged-eth2類型幀：<12～51>，對untagged-802.3類型幀：<12～55>，對tagged-eth2類型幀：<12～59>，對tagged-802.3類型幀：<12～63>三層交換機訪問控制列表ACL的配置舉例：允許任意源MAC地址任意目的MAC地址的tagged-eth2，且其第1516個字節分別為0x08，0x0的包通過Switch(Config)#access-list1100permitany-source-macany-destination-mactagged-eth21420800三層交換機訪問控制列表ACL的配置配置命名擴展MAC訪問列表的步驟創建一個命名擴展MAC訪問列表指定多條permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個命名擴展IP訪問列表命令：Mac-access-listextended<name>

說明：

name為訪問列表的名字，字符串長度為1—16個字符，第一個字符不能為數字。舉例：創建一個名為test的擴展mac訪問列表Mac-access-listextendedtest

三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令：

deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-eth2[ethertype<protocol>[protocol-mask]]]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[untagged-802.3]deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[tagged-802.3[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]]三層交換機訪問控制列表ACL的配置指定多條permit或deny規則命令：deny|permit{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]三層交換機訪問控制列表ACL的配置說明：cos-val:cos值，0-7；cos-bitmask:cos掩碼，0-7反掩碼且掩碼比特連續；vid-value:vlan號，1-4094；vid-bitmask:vlan掩碼，0-4095，反掩碼且掩碼比特連續；protocol:特定的以太網協議號，1536－65535；protocol-bitmask:協議掩碼，0－65535，反掩碼且掩碼比特連續注意：掩碼比特連續是指，掩碼有效位必須從左第一位開始連續有效，不允許中間插入無效位，例如：一個字節的反掩碼形式為：00001111b；正掩碼形式為：1110000；不允許00010011。三層交換機訪問控制列表ACL的配置例1．管理員不希望交換機10號端口的網段中00-12-11-23-xx-xx的802.3數據報文的發出。

配置如下：

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-mactagged-802.3

switch(Config)#access-list1110deny00-12-11-23-11-2400-00-00-00-ff-ffany-destination-macuntagged-802.3

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#macaccess-group1110in

三層交換機訪問控制列表ACL的配置MAC-IP訪問列表類型數字擴展MAC-IP訪問列表命名擴展MAC-IP訪問列表三層交換機訪問控制列表ACL的配置配置數字擴展MAC-IP訪問列表的步驟創建數字擴展MAC-IP訪問列表 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建數字擴展MAC-IP訪問列表命令：access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}icmp{<source><source-wildcard>|any-source|host-source<source-host-ip>}{<destination><destination-wildcard>|any-destination|host-destination<destination-host-ip>}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}igmp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<igmp-type>][precedence<precedence>][tos<tos>][time-range<time-range-name>]三層交換機訪問控制列表ACL的配置access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>][time-range<time-range-name>]三層交換機訪問控制列表ACL的配置access-list<num>{deny|permit}{any-source-mac|host-source-mac<host_smac>|<smac><smac-mask>}{any-destination-mac|host-destination-mac<host_dmac>|<dmac><dmac-mask>}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>][tos<tos>][time-range<time-range-name>]三層交換機訪問控制列表ACL的配置參數：access-list-number訪問表號，取值3100－3199；protocol名字或IP協議的號。它可以是關鍵字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tcp,orudp,也可以是表示IP協議號的0到255的一個整數。為了匹配任何Internet協議（包括ICMP，TCP和UDP）使用關鍵字ip。三層交換機訪問控制列表ACL的配置例：允許源MAC為00-12-34-45-XX-XX，任意目的MAC地址，源IP地址為：

，55，任意目的IP地址，且源端口是100，目的端口是40000的TCP報文通過。Switch(Config)#access-list3199permit00-12-34-45-67-0000-00-00-00-FF-FFany-destination-mactcp55s-port100any-destinationd-port40000三層交換機訪問控制列表ACL的配置舉例：拒絕任意源MAC地址及目的MAC地址，任意源IP地址及目的IP地址，且源端口是100，目的端口是40000的UDP報文通過。Switch(Config)#access-list3100denyany-source-macany-destination-macudpany-sources-port100any-destinationd-port40000三層交換機訪問控制列表ACL的配置例2.交換機10號端口連接的網段MAC地址是00-11-11-11-xx-xx并且IP地址是4/24的網段，管理員不希望使用FTP，也不允許外網PING此網段的任何一臺主機。配置如下：

switch(Config)#access-list3110deny00-11-11-11-00-0000-00-00-00-ff-ff

any-destination-mactcp455any-destinationd-port21

switch(Config)#access-list3120denyany-source-mac00-11-11-11-00-0000-00-00-00-ff-fficmpany-source455

switch(Config)#firewallenable

switch(Config)#firewalldefaultpermit

switch(Config)#interfaceethernet0/0/10

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110in

switch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out三層交換機訪問控制列表ACL的配置配置命名擴展MAC-IP訪問列表的步驟創建一個命名擴展MAC-IP訪問列表指定多條permit或deny規則 開啟交換機的包過濾功能，并設置其默認動作將訪問列表應用到指定端口三層交換機訪問控制列表ACL的配置創建一個命名擴展IP訪問列表命令：Mac-ip-access-listextended<name>

說明：

name為訪問列表的名字，字符串長度為1—16個字符，第一個字符不能為數字。三層交換機訪問控制列表ACL的配置第七次實驗ACL配置（三）實驗目的理解交換機的MACACL和MAC-IPACL的作用掌握交換機的MACACL和MAC-IPACL的配置方法實驗內容在一臺DCS5526交換機上面劃分了三個VLAN：Eth0/0/1—VLAN10（接Internet）Eth0/0/2—VLAN20（）Eth0/0/3—DCS3926，3926上的端口全部劃入VLAN30

現在要在非工作時間，VLAN30中的PC不能接入Internet，請給出其ACL配置。三層交換機訪問控制列表ACL的配置步驟建立時間范圍建立ACL啟用防火墻功能應用于接口三層交換機訪問控制列表ACL的配置第八次實驗ACL配置（四）實驗目的掌握交換機上ACL的配置網絡拓撲圖如下三層交換機訪問控制列表ACL的配置實驗內容公司企業網通過Switch實現各部門之間的互連。管理部門由E0/0/4端口接入，技術支援部門由E0/0/3端口接入，研發部門由E0/0/1端口接入。工資查詢服務器子網地址，MAC為00e0-fc01-0303，技術支援部門IP為/24，研發部門主機MAC為00e0-fc01-0101。組網需求：1．要求正確配置ACL，限制研發部門在上班時間8:00至18:00訪問工資查詢服務器。2．通過基本訪問控制列表，實現在每天8:00～18:00時間段內對源IP為主機發出報文的過濾。3．通過二層訪問控制列表，實現在每天8:00～18:00時間段內對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報文的過濾。三層交換機訪問控制列表ACL的配置ACL配置技術某電子商務公司為適應市場的發展組建了一個企業網，其網絡拓撲結構如下圖所示。該網絡邏輯結構上分成核心層和接入層，核心層使用了一臺三層交換機。網管員按照各部門的職能將公司內部網絡分成了8個VLAN，分別是公司網絡設備及網管機VLAN1（/24）、內網服務器VLAN2（/24）、非軍事區DMZVLAN3（/24）、財務部VLAN4（/24）、市場部VLAN5（/24）、研發部VLAN6（/24）、接待室VLAN（/24）。每個網段的缺省網關地址由從高位向下分配，其他節點地址均從低位向上分配；例如，接待室VLAN中每一臺客戶機的網關地址為54，客戶機1的IP地址為，客戶機2的IP地址為。三層交換機訪問控制列表ACL的配置三層交換機訪問控制列表ACL的配置【問題1】（2分）通常路由器都支持兩種類型的訪問控制列表：基本訪問控制列表和擴展訪問控制列表。請用120字以內的文字說明這兩種訪問列表之間的區別。【問題2】（2分）該商務公司有