| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。 中国网管论坛bbs.bitsCN.com
利用标准ACL控制网络访问
网管u家u.bitscn@com
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。
标准ACL的配置语句为:
Switch#access-list access-list-number(1~99) {permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}
中国网管联盟bitsCN.com
例1:允许192.168.3.0网络上的主机进行访问: 网管联盟bitsCN@com
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问: 网管联盟bitsCN_com
Switch#access-list 2 deny 172.10.0.0 0.0.255.255 网管u家u.bitsCN.com
例3:允许所有IP的访问: 网管论坛bbs_bitsCN_com
Switch#access-list 1 permit 0.0.0.0 255.255.255.255 网管论坛bbs_bitsCN_com
例4:禁止192.168.1.33主机的通信: 网管u家u.bitsCN.com
Switch#access-list 3 deny 192.168.1.33 0.0.0.0 网管下载dl.bitscn.com
上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。 网管联盟bitsCN@com
中国网管论坛bbs.bitsCN.com
|
0
|
评论加载中…
