三层交换机访问控制列表ACL的配置.ppt

资源描述

《三层交换机访问控制列表ACL的配置.ppt》由会员分享，可在线阅读，更多相关《三层交换机访问控制列表ACL的配置.ppt（89页珍藏版）》请在三一办公上搜索。

1、三层交换机访问列表ACL的配置,ACL 是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。ACL 是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，ACL可以有如下分类：根据过滤信息：ip access-list（三层以上信息），mac access-list（二层信息），mac-ip access-list（二层以上信息）。根据配置的复

2、杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。根据命名方式：数字(numbered)和命名(named),IP ACL（1）配置数字标准IP 访问列表（2）配置数字扩展IP 访问列表（3）配置命名标准IP 访问列表（4）配置命名扩展IP 访问列表MAC ACL（1）配置数字标准MAC 访问列表（2）配置数字扩展MAC 访问列表（3）配置命名扩展MAC 访问列表MAC-IP（1）配置数字扩展MAC-IP 访问列表（2）配置命名扩展MAC-IP 访问列表,IP 访问列表类型命名标准IP 访问列表命名扩展IP 访问列表数字标准IP 访问列表数字扩展IP

3、访问列表基于时间的访问列表,配置命名标准IP访问列表的步骤,创建一个命名标准IP 访问列表指定多条permit 或deny 规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建一个命名标准IP 访问列表,命令：ip access-list standard 说明：name为访问列表的名字，字符串长度为116个字符，第一个字符不能为数字。,举例：创建一个名为test的标准IP访问列表,ip access-list standard test,指定多条permit 或deny 规则,命令：deny|permit|any-source|host-source 说明：sIp

4、Addr为源IP地址，sMask为源IP的反掩码。,举例：允许源地址为的数据包通过，拒绝源地址为的数据包通过。,Permit 192.168.10.0,开启交换机的包过滤功能,相关命令：Firewall enable 作用：开启交换机的包过滤功能（即防火墙功能）Firewall disable 作用：关闭交换机的包过滤功能,说明在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上；使防火墙不起作用后将删除端口上绑定的所有ACL。,设置包过滤的默认动作,相关命令：Firewall default permit 作用：设置其默认动作为允许Firew

5、all default deny 作用：设置其默认动作为拒绝说明此命令只影响端口入口方向的IP 包，其余情况下数据包均可通过交换机。,将访问列表应用到指定端口,命令：Interface Ip access-group in|out作用：在端口的某个方向上应用一条access-list 说明一个端口可以绑定一条入口规则和一条出口规则；ACL 绑定到出口时只能包含deny 规则；如果是堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。,总结：对ACL 中的表项的检查是自上而下的，只要匹配一条表项，对此ACL 的检查就马上结束。端口特定方向上没有绑定ACL 或没有任何ACL 表项匹配时，才会

6、使用默认规则。每个端口入口和出口可以各绑定一条IP ACL。当一条ACL 被绑定到端口出口方向时，只能包含deny 表项。可以配置ACL 拒绝某些ICMP 报文通过以防止“冲击波”等病毒攻击。对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。,标准访问列表应用举例,要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。,switch#confSwitch

7、(config)#ip access-list standard pc1toserver1#exit#int e0/0/23#ip access-group pc1toserver1 outSwitch(config)#ip access-list standard pc1toserver2#exit#int e0/0/24#ip access-group pc1toserver2 out,配置命名扩展IP访问列表的步骤,创建一个命名扩展IP 访问列表指定多条permit 或deny 规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令

8、：ip access-list extended 说明：name为访问列表的名字，字符串长度为116个字符，第一个字符不能为数字。,举例：创建一个名为test的扩展IP访问列表,ip access-list extended test,指定多条permit 或deny 规则,命令（过滤ICMP数据包）：deny|permit icmp|any-source|host-source|any-destination|host-destination precedence tos time range,说明，icmp 的类型，0255；，icmp 的协议编号，0255；，IP 优先级，07；，tos

11、urce|host-source|any-destination|host-destination precedence tos time range,举例：创建名为udpFlow的扩展访问列表。拒绝igmp 报文通过，允许目的地址为192.168.0.1、目的端口为32 的udp 包通过。#ip access-list extended udpFlow#deny igmp any-source any-destination#permit udp any-source host-destination 192.168.0.1 dPort 32,命名扩展IP访问列表应用举例,要求：允许PC1访

12、问server的Telnet服务，但不能ping通它；拒绝PC2访问server的Telnet服务，但能ping通它。,在5526交换机上进行配置Ip access-list extended pc1toserverPermit tcp 192.168.100.0 host-destination 192.168.10.254 dport 23Deny icmp host-source 192.168.100.1 host-destination 192.168.10.254 Ip access-list extended pc2toserverdeny icmpPermit tcp host

13、-source 192.168.100.1 host-destination 192.168.10.254 Firewall enableFirewall default permitInterface e0/0/1Ip access-group pc1toserver inInterface e0/0/2Ip access-group pc2toserver in,配置数字标准IP访问列表的步骤,创建一个数字标准IP 访问列表，并指定permit 或deny 规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建一个数字标准IP 访问列表,命令：access-list

14、deny|permit|any-source|host-source 说明：num为访问列表的数字编号，取值199。sIpAddr为源IP地址，sMask为源IP的反掩码。如果已有此访问列表，则增加一条规则。,举例：创建一个编号为1的标准IP访问列表，允许网段的数据通过。,access-list 1 permit 192.168.1.0 0.0.0.255,数字标准访问列表应用举例,要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。PC1接在端口1上，PC2接

15、在端口2上；server1接在端口23上，server2接在端口24上。,switch#confSwitch(config#exit#int e0/0/23#ip access-group 1 outSwitch(config)#access#exit#int e0/0/24#ip access-group 2 out,配置数字扩展IP访问列表的步骤,创建一个数字扩展IP 访问列表，并指定permit 或deny 规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建一个数字标准IP 访问列表,命令：access-list deny|permit 说明：num为访问列表的

16、数字编号，取值100199。sIpAddr为源IP地址，sMask为源IP的反掩码。如果已有此访问列表，则增加一条规则。,举例：创建一个编号为101的扩展IP访问列表，允许网段的主机访问ftp服务器。,access-list 101 permit tcp host-destination 202.10.1.2 dport 21,数字扩展IP访问列表应用举例,要求：允许PC1访问server的Telnet服务，但不能ping通它；拒绝PC2访问server的Telnet服务，但能ping通它。,在5526交换机上进行配置access-list 101 permit tcp 192.168.100

17、.0 host-destination 192.168.10.254 dport 23access-list 101 deny icmp host-source 192.168.100.1 host-destination 192.168.10.254 access-list 102 deny icmpaccess-list 102 permit tcp host-source 192.168.100.1 host-destination 192.168.10.254 Firewall enableFirewall default permitInterface e0/0/1Ip access

18、-group 101 inInterface e0/0/2Ip access-group 102 in,基于时间的访问控制列表,概述可以根据一天中的不同时间，或者根据一个星期中的不同日期，或者二者相结合，来控制对网络数据包的转发。实现基于时间的访问列表的操作步骤定义一个时间范围在访问列表中引用时间范围,基于时间的访问控制列表的配置,第一步：时间范围命名time-range 第二步：定义具体的时间范围定义绝对时间范围absolute Absolute-periodic定义周期、重复使用的时间范围periodic第三步在访问列表中引用时间范围,说明absolute-periodic Monday|

20、day.|Thursday.|Friday.|Saturday.|Sunday.或absolute start end,说明periodic命令中参数,确保交换机时钟设置准确,开始时间必须小于结束时间,举例：使Tuesday的9:15:30到Saturday 的12:30:00 时间段内配置生效Switch(Config)#time-range dc_timer Switch(Config-Time-Range)#absolute-periodic Tuesday 9:15:30 to Saturday.12:30:00 使Monday、Wednesday、Friday 和Sunday 四天内

21、的14:30:00 到16:45:00 时间段配置生效Switch(Config-Time-Range)#periodic Monday Wednesday FridaySunday 14:30:00 to 16:45:00,基于时间访问列表应用举例,要求：限制网段的主机只能在2007年6月1日至2008年12月31日内的星期六的早上7:00到星期日的下午5:00进行WWW访问。,Route-config#time-range allow-wwwRoute-config-time-range#absolute start 7:00:00 2007.6.1 end 17:00:00 2008.1

22、2.31 Route-config-time-range#periodic weekend 7:00:00 to 17:00:00Route-config#ip access-list extended timeaclRoute-config-ext-nacl#permit tcp 192.168.1.0 0.0.0.255 any-destination dport 80 time-range allow-wwwRoute-config#firewall enableRoute-config#firewall default permitRoute-config#int E0/0/1Rout

23、e-config-f0/1#ip access-group timeacl in,第五次实验 ACL配置（一）,实验目的理解ACL的作用掌握交换机的命名标准ACL和命名扩展ACL的配置方法掌握交换机的数字标准ACL和数字扩展ACL的配置方法实验内容见交换机实验中的实验三十一、三十二。,实验三十一标准ACL配置,PC1和PC2通过交换机A连到Server（假设为telnet服务器）。要求：不配置ACL时，PC1和PC2都可访问server；配置ACL后，PC1和PC2都不能访问server。只有更改了IP地址后才可访问；,Ip access-list standard test为什么会有下列结果

24、？,实验三十二扩展ACL配置,PC1和PC2通过交换机A连到Server（假设为telnet服务器）。要求：不配置ACL时，PC1和PC2都可访问server；配置ACL后，PC2不能访问server。只有更改了IP地址后才可访问；,Ip access-list extended testDeny tcp host-source 192.168.200.22 host-destination 10.1.1.1 dport 23为什么会有下列结果？,第六次实验ACL配置（二）,实验目的进一步熟悉和掌握交换机的ACL配置。实验内容见交换实验指导实验三十三、三十四,实验三十三单向访问控制的实现,PC

25、1和PC2通过交换机A相连。要求：不配置ACL时，PC1和PC2可以互访；配置ACL后，PC1可以访问PC2，但PC2不能访问PC1（如ping）。,Ip access-list extended testDeny icmp host-source 192.168.200.22 host-destination 192.168.100.11 8Int e0/0/1Ip access-group test in,实验三十四配置访问列表过滤病毒,目的了解病毒的工作原理，掌握常见病毒的特征；掌握过滤病毒的方法要求通过配置，使交换机能隔离病毒。,病毒运行时会不停地利用IP扫描技术寻找网络上系统的漏洞进

26、行攻击，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、文件丢失或被破坏、不停重启、甚至导致系统崩溃等。病毒常会利用135、139、69、4444、445等端口。,第一步：创建aclip access-list extended antivirus第二步：制定过滤规则/禁ping deny icmp any-source any-destination/用于控制Blaster蠕虫的传播deny udp any-source any-destination d-port 69deny tcp any-source any-destination d-port 4444/用于

27、控制冲击波病毒的扫描和攻击deny tcp any-source any-destination d-port 135deny udp any-source any-destination d-port 135deny udp any-source any-destination d-port 137deny udp any-source any-destination d-port eq 138deny tcp any-source any-destination d-port 139deny udp any-source any-destination d-port 139,deny tc

28、p any-source any-destination d-port 445deny udp any-source any-destination d-port 445deny udp any-source any-destination d-port 593deny tcp any-source any-destination d-port 593deny tcp any-source any-destination d-port 5554deny tcp any-source any-destination d-port 9995deny tcp any-source any-desti

29、nation d-port 9996启用防火墙功能，并配置默认规则Firewall enableFirewall default permit将ACL应用于端口Ip access-group antivirus in,MAC 访问列表类型数字标准MAC 访问列表数字扩展MAC 访问列表命名扩展MAC 访问列表,配置数字标准MAC访问列表的步骤,创建数字标准MAC 访问列表开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建数字标准MAC 访问列表,命令：access-list deny|permit any-source-mac|host-source-mac|功能：定义一条

30、标准数字MAC ACL 规则参数：访问表号，取值700 到799；，源MAC 地址；源MAC 地址的掩码（反掩码）说明：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL 中添加表项。,举例：允许源MAC 地址为00-00-XX-XX-00-01 的数据包通过，拒绝源地址为00-00-00-XX-00-ab 的数据包通过。Switch(Config)#access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-01 Switch(Config)#access-list 700 deny 00-00-00-00-00-ab 00-00

32、gged-eth2 标记的ethernet II 包格式；untagged-802.3 未标记的ethernet 802.3 包格式；tagged-802.3 标记的ethernet 802.3 包格式；Offset(x)从包头开始起的偏移量，范围为（12-79）；Length(x)长度为1-4；Value(x)16 进制数表示，取值范围：当Length(x)=1 为0-ff,当Length(x)=2为0-ffff,当Length(x)=3 为0-ffffff,当Length(x)=4 为0-ffffffff；对于Offset(x)，对不同的数据帧类型，它的取值范围不同：对untagged-e

33、th2 类型帧：，对untagged-802.3 类型帧：，对tagged-eth2 类型帧：，对tagged-802.3 类型帧：,举例：允许任意源MAC 地址任意目的MAC 地址的tagged-eth2，且其第15 16 个字节分别为0 x08，0 x0 的包通过Switch(Config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 14 2 0800,配置命名扩展MAC访问列表的步骤,创建一个命名扩展MAC 访问列表指定多条permit 或deny 规则开启交换机的包过滤功能，并设置其

34、默认动作将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令：Mac-access-list extended 说明：name为访问列表的名字，字符串长度为116个字符，第一个字符不能为数字。,举例：创建一个名为test的扩展mac访问列表,Mac-access-list extended test,指定多条permit 或deny 规则,命令：deny|permit any-source-mac|host-source-mac|any-destination-mac|host-destination-mac|untagged-eth2 ethertype protocol-mask

36、tination-mac|tagged-802.3 cos vlanId,指定多条permit 或deny 规则,命令：deny|permit any-source-mac|host-source-mac|any-destination-mac|host-destination-mac|cos vlanId ethertype,说明：cos-val:cos 值，0-7；cos-bitmask:cos 掩码，0-7 反掩码且掩码比特连续；vid-value:vlan 号，1-4094；vid-bitmask:vlan 掩码，0-4095，反掩码且掩码比特连续；protocol:特定的以太网协议号

37、，153665535；protocol-bitmask:协议掩码，065535，反掩码且掩码比特连续注意：掩码比特连续是指，掩码有效位必须从左第一位开始连续有效，不允许中间插入无效位，例如：一个字节的反掩码形式为：00001111b；正掩码形式为：1110000；不允许00010011。,例1管理员不希望交换机10号端口的网段中00-12-11-23-xx-xx的802.3数据报文的发出。,配置如下：switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac tagge

38、d-802.3switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac untagged-802.3switch(Config)#firewall enableswitch(Config)#firewall default permitswitch(Config)#interface ethernet 0/0/10switch(Config-Ethernet0/0/10)#mac access-group 1110 in,MAC-IP 访问列表类型数字扩展MAC-IP

43、,ospf,tcp,or udp,也可以是表示IP 协议号的0 到255 的一个整数。为了匹配任何Internet 协议（包括ICMP，TCP 和UDP）使用关键字ip。,例：允许源MAC 为00-12-34-45-XX-XX，任意目的MAC 地址，源IP 地址为：100.1.1.0，0.255.255.255，任意目的IP 地址，且源端口是100，目的端口是40000 的TCP 报文通过。,Switch(Config)#access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 100

44、.1.1.0 0.255.255.255 s-port 100 any-destination d-port 40000,举例：拒绝任意源MAC 地址及目的MAC 地址，任意源IP 地址及目的IP 地址，且源端口是100，目的端口是40000 的UDP 报文通过。Switch(Config)#access-list 3100 deny any-source-mac any-destination-mac udp any-source s-port 100 any-destination d-port 40000,例2.交换机10号端口连接的网段MAC地址是00-11-11-11-xx-xx 并

45、且IP地址是的网段，管理员不希望使用FTP，也不允许外网PING 此网段的任何一台主机。,配置如下：switch(Config)#access-list 3110 deny 00-11-11-11-00-00 00-00-00-00-ff-ffany-destination-mac tcp 192.168.6.14 0.0.0.255 any-destination d-port 21switch(Config)#access-list 3120 deny any-source-mac 00-11-11-11-00-00 00-00-00-00-ff-ff icmp any-source 19

46、2.168.6.14 0.0.0.255switch(Config)#firewall enableswitch(Config)#firewall default permitswitch(Config)#interface ethernet 0/0/10switch(Config-Ethernet0/0/10)#mac-ip access-group 3110 inswitch(Config-Ethernet0/0/10)#mac-ip access-group 3120 out,配置命名扩展MAC-IP访问列表的步骤,创建一个命名扩展MAC-IP 访问列表指定多条permit 或deny

47、规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令：Mac-ip-access-list extended 说明：name为访问列表的名字，字符串长度为116个字符，第一个字符不能为数字。,第七次实验 ACL配置（三）,实验目的理解交换机的MAC ACL和MAC-IP ACL的作用掌握交换机的MAC ACL和MAC-IP ACL的配置方法实验内容在一台DCS5526交换机上面划分了三个VLAN：Eth0/0/1VLAN10（接Internet）Eth0/0/2VLAN20（www Server）Eth0/0/3DCS3926，3926

48、上的端口全部划入VLAN30 现在要在非工作时间，VLAN30中的PC不能接入Internet，请给出其ACL配置。,步骤建立时间范围建立ACL启用防火墙功能应用于接口,第八次实验 ACL配置（四）,实验目的掌握交换机上ACL的配置网络拓扑图如下,实验内容公司企业网通过Switch实现各部门之间的互连。管理部门由E0/0/4端口接入，技术支援部门由E0/0/3端口接入，研发部门由E0/0/1端口接入。工资查询服务器子网地址，MAC为00e0-fc01-0303，技术支援部门IP为，研发部门主机MAC为00e0-fc01-0101。组网需求：1要求正确配置ACL，限制研发部门在上班时间8:00至

49、18:00访问工资查询服务器。2通过基本访问控制列表，实现在每天8:0018:00时间段内对源IP为主机发出报文的过滤。3通过二层访问控制列表，实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。,ACL配置技术,某电子商务公司为适应市场的发展组建了一个企业网，其网络拓扑结构如下图所示。该网络逻辑结构上分成核心层和接入层，核心层使用了一台三层交换机。网管员按照各部门的职能将公司内部网络分成了8个VLAN，分别是公司网络设备及网管机VLAN1（）、内网服务器VLAN2（）、非军事区DMZ VLAN3（）、财务部VLAN4

50、（）、市场部VLAN5（）、研发部VLAN6（）、接待室VLAN（）。每个网段的缺省网关地址由从高位向下分配，其他节点地址均从低位向上分配；例如，接待室VLAN中每一台客户机的网关地址为，客户机1的IP地址为，客户机2的IP地址为。,【问题1】（2分）通常路由器都支持两种类型的访问控制列表：基本访问控制列表和扩展访问控制列表。请用120字以内的文字说明这两种访问列表之间的区别。【问题2】（2分）该商务公司有多台游戏服务器用于提供各种在线游戏，保护这些服务器内部数据的安全性是公司网管员第一工作要责。该公司还有一台专门为用户提供在线购买游戏币服务的Web服务器（以下简称为游戏币Web服务器），用户

展开阅读全文