NETGEAR GS700TR系列增强型智能交换机IP ACL设置

1、NETGEAR GS700TR系列增强型智能交换机IP ACL设置访问控制列表（Access Control List，ACL）根据设定的条件来控制数据包是允许还是拒绝在端口上进出。GS700TR具有标准与扩展的ACL：标准ACL（099）：只检查数据包的源地址。扩展ACL（100199）：既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的协议（Protocol ID，协议ID请参考）、端口号、服务等。标准ACL与扩展ACL在实际应用上的区别：标准ACL网络管理员可以使用标准ACL阻止来自某一主机或子网的所有通信流量，或者允许来自某一主机或子网的所有通信流量。扩展ACL比标准

2、ACL提供了更完整的控制范围。比如：“允许Web通信流量通过，拒绝FTP和Telnet等通信流量；允许或拒绝数据到达某一主机或子网”，那么，可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。设置ACL 的一些规则：1. 无论是标准还是扩展的ACL，均使用反掩码2. 按ID顺序进行比较,先比较ID1，再比较ID2，直到最后1个；3. 从ID1起，直到找到1 个符合条件的ID，符合以后，后面的ID就不需要再继续比较；4. 在每个ACL 中最后默认有一条隐含的ID，是全部拒绝的，如果之前没找到1条允许的ID，那么数据包将被丢弃，所以每个ACL 必须有1 行permit 语句，除非您

3、想所有数据包被丢弃。一、网络拓扑图配置概要：1、使用标准ACL，只阻止源IP地址为0的PC1访问，其它PC则不阻止。2、使用扩展ACL，在端口0/2上，阻止PC3访问PC2，但可访问其它PC；阻止PC4访问FTP服务，其它PC与服务均开放。实验目的：使用标准的ACL与扩展ACL，测试L3、L4层ACL。二、标准 ACL1、添加一条标准ACL，ID为1进入Security>ACL>Advanced>IP ACL，a、IP ACL ID输入1（此为标准IP ACL的ID号）b、按”ADD”增加一条ACL2、在ID 1的ACL里设定具体条件进入Sec

4、urity>ACL>Advanced>IP Rules，a、ACL ID选择1b、按“ADD”增加控制条件。以下共新增2条2.1 拒绝源地址为0的主机与其它主机通信a、Rule ID(1 to 10)输入1b、Action选择Denyc、Match Every选择Falsed、Src IP Address输入0e、Src IP Mask输入（单个IP的反掩码）f、按”APPLY”保存2.2 允许源地址为/24这个子网的所有主机通信a、Rule ID(1 to 10)输入2b、Action选择Per

5、mitc、Match Every选择Falsed、Src IP Address输入e、Src IP Mask输入55（此为24位的反掩码）f、按”APPLY”保存3、将ID 1的标准ACL应用在端口1上进入Security>ACL>Advanced>IP Binding Configuration，a、ACL ID选择1b、单击Unit 1展开端口,并勾上端口1c、按”APPLY”保存三、扩展ACL1、添加一条扩展ACL，ID为100进入Security>ACL>Advanced>IP ACL， a、IP ACL

6、 ID输入100（此为扩展IP ACL的ID号）b、按”ADD”增加一条ACL2、在ID 100的ACL里设定具体条件进入Security>ACL>Advanced>IP Extended Rules，a、ACL ID选择100b、按“ADD”增加控制条件。以下共新增3条2.1 拒绝源地址为0的主机与目标地址为0的主机的所有通信a、Rule ID(1 to 10)输入1b、Action选择Denyc、Match Every选择Falsed、Src IP Address输入0e、Src IP Mask输入0.0.

7、0.0（单个IP的反掩码）f、Dst IP Address输入0g、Dst IP Mask输入（单个IP的反掩码）h、按”APPLY”保存2.2 拒绝源地址为0的主机访问任意地址的FTP服务a、Rule ID(1 to 10)输入2b、Action选择Denyc、Match Every选择Falsed、Src IP Address输入0e、Src IP Mask输入（单个IP的反掩码）f、Dst IP Address输入（不指定IP，为任意地址）g、Dst IP Mask输

8、入55（反掩码为55代表any,即任意地址）h、Dst L4 Port选择ftpi、按”APPLY”保存2.3 允许所有主机互访a、Rule ID(1 to 10)输入3b、Action选择Permitc、Match Every选择Falsed、Src IP Address输入（不指定IP，为任意地址）e、Src IP Mask输入55（反掩码为55代表any,即任意地址）f、Dst IP Address输入（不指定IP，为任意地址）g、Dst IP Mask输入55（反掩码为55代表any,即任意地址）h、按”APPLY”