time-range
(2)配置周期性时段 命令 时间范围模式 absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}
(3)配置绝对性时段 命令 全局配置模式 解释
1-15
Absolute start
4. 将accessl-list绑定到特定端口的特定方向 命令 物理接口配置模式/Vlan接口模式 解释 物理接口模式:在端口的某个方向上应用一条{ip|mac|mac-ip} {in|out}[traffic-statistic] {in|out}
5. 清空指定接口的包过滤统计信息 命令 特权用户模式 clear
access-group statistic 解释 在指定端口清除包过滤统计信息 access-group access-list; no操作为删除绑定在端口上的access-list。 Vlan接口模式:在Vlan中所有端口的某个方向在Vlan中所有端口上的access-list。 停止一个绝对时间范围功能 创建一个绝对时间范围 no {ip|mac|mac-ip} access-group 上应用一条access-list; no操作为删除绑定[ethernet
案例1:
用户有如下配置需求:交换机的10端口连接10.0.0.0/24网段,管理员不希望用户使用ftp。 配置更改:
1. 创建相应的ACL 2. 配置包过滤功能 3. 绑定ACL到端口 配置步骤如下:
Switch(Config)#access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-16
Switch(Config)#firewall enable Switch(Config)#firewall default permit
Switch(Config)#interface ethernet1/10
Switch(Config-Ethernet1/10)#ip access-group 110 in Switch(Config-Ethernet1/10)#ex Switch(Config)#ex
配置结果: Switch#show firewall Firewall Status: Enable. Firewall Default Rule: Permit. Switch#show access-lists access-list 110(used 1 time(s))
access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21
Switch#show access-group interface ethernet 1/10 interface name:Ethernet1/10
the ingress acl use in firewall is 110. 案例2:
用户有如下配置需求:交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX,并且不允许802.3的数据报文发出。 配置更改:
1、 创建相应的MAC ACL 2、 配置包过滤功能 3、 绑定ACL到端口 配置步骤如下:
Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any untagged-802.3
Switch(Config)# access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3
Switch(Config)#firewall enable Switch(Config)#firewall default permit
Switch(Config)#interface ethernet 1/10
Switch(Config-Ethernet1/10)#mac access-group 1100 in
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-17
Switch(Config-Ethernet1/10)#ex Switch(Config)#ex
配置结果: Switch#show firewall fire wall is enable
the default action of fire wall is permit
Switch #show access-lists access-list 1100(used 1 time(s)) access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac untagged-802.3 access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac
tagged-802.3 Switch #show access-group interface name:Ethernet1/10 MAC Ingress access-list used is 1100. 案例3:
用户有如下配置需求:交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX,并且IP为10.0.0.0/24网段,管理员不希望用户使用ftp,也不允许外网ping此网段的任何一台主机。 配置更改:
1、 创建相应的ACL 2、 配置包过滤功能 3、 绑定ACL到端口 配置步骤如下:
Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp 10.0.0.0 0.0.0.255 any-destination d-port 21
Switch(Config)#access-list 3120 deny any 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.0 0.0.0.255
Switch(Config)#firewall enable Switch(Config)#firewall default permit
Switch(Config)#interface ethernet 1/10
Switch(Config-Ethernet1/10)#mac-ip access-group 3110 in
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-18
Switch(Config-Ethernet1/10)#mac-ip access-group 3120 out Switch(Config-Ethernet1/10)#ex Switch(Config)#ex
配置结果: Switch#show firewall fire wall is enable
the default action of fire wall is permit
Switch#show access-lists access-list 3120(used 1 time(s)) access-list 3120 deny any-source-mac 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.0 0.0.0.255
access-list 3110(used 1 time(s))
access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac tcp 10.0.0.0 0.0.0.255 any-destination d-port 21
Switch #show access-group interface name:Ethernet1/10 MAC-IP Ingress access-list used is 3110. MAC-IP Egress access-list used is 3120. 案例4:
用户有如下配置需求:交换机的10端口连接的网段是IPV6,并且IPV6的地址为2003:1:1:1::0/64网段,管理员不希望除了2003:1:1:1:66::0/80网段用户访问外网。 配置更改:
1. 创建相应的ACL 2. 配置包过滤功能 3. 绑定ACL到端口 配置步骤如下:
Switch(Config)#ipv6 access-list 10 deny 2003:1:1:1::0/64 any-source Switch(Config)# ipv6 access-list 10 permit 2003:1:1:1:66::0/80 any-source
Switch(Config)#firewall enable Switch(Config)#firewall default permit
Switch(Config)#interface ethernet 1/10
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-19