《三层交换机访问控制列表ACL的配置.ppt》由会员分享,可在线阅读,更多相关《三层交换机访问控制列表ACL的配置.ppt(89页珍藏版)》请在三一文库上搜索。
1、三层交换机 访问列表ACL的配置,ACL 是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。 ACL 是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。 根据不同的标准,ACL可以有如下分类: 根据过滤信息:ip access-list (三层以上信息),mac access-list (二层信息),mac-ip access-list (二层以上信息)
2、。 根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。 根据命名方式:数字(numbered)和命名(named),IP ACL (1)配置数字标准IP 访问列表 (2)配置数字扩展IP 访问列表 (3)配置命名标准IP 访问列表 (4) 配置命名扩展IP 访问列表 MAC ACL (1)配置数字标准MAC 访问列表 (2)配置数字扩展MAC 访问列表 (3)配置命名扩展MAC 访问列表 MAC-IP (1)配置数字扩展MAC-IP 访问列表 (2)配置命名扩展MAC-IP 访问列表,IP 访问列表类型 命名标准IP 访问列表 命名扩展I
3、P 访问列表 数字标准IP 访问列表 数字扩展IP 访问列表 基于时间的访问列表,配置命名标准IP访问列表的步骤,创建一个命名标准IP 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个命名标准IP 访问列表,命令: ip access-list standard 说明: name为访问列表的名字,字符串长度为116个字符,第一个字符不能为数字。,举例:创建一个名为test的标准IP访问列表,ip access-list standard test,指定多条permit 或deny 规则,命令: deny | perm
4、it | any-source | host-source 说明: sIpAddr为源IP地址,sMask为源IP的反掩码。,举例:允许源地址为192.168.10.0/24的数据包通过,拒绝源地址为192.168.20.1的数据包通过。,Permit 192.168.10.0 0.0.0.255 Deny host-source 192.168.20.1,开启交换机的包过滤功能,相关命令: Firewall enable 作用:开启交换机的包过滤功能(即防火墙功能) Firewall disable 作用:关闭交换机的包过滤功能,说明 在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙
5、起作用时才可以将规则应用至特定端口的特定方向上; 使防火墙不起作用后将删除端口上绑定的所有ACL。,设置包过滤的默认动作,相关命令: Firewall default permit 作用:设置其默认动作为允许 Firewall default deny 作用:设置其默认动作为拒绝 说明 此命令只影响端口入口方向的IP 包,其余情况下数据包均可通过交换机。,将访问列表应用到指定端口,命令: Interface Ip access-group in|out 作用:在端口的某个方向上应用一条access-list 说明 一个端口可以绑定一条入口规则和一条出口规则; ACL 绑定到出口时只能包含den
6、y 规则; 如果是堆叠交换机,则只能在入口绑定ACL,不能在出口绑定ACL。,总结: 对ACL 中的表项的检查是自上而下的,只要匹配一条表项,对此ACL 的检查就马上结束。 端口特定方向上没有绑定ACL 或没有任何ACL 表项匹配时,才会使用默认规则。 每个端口入口和出口可以各绑定一条IP ACL 。 当一条ACL 被绑定到端口出口方向时,只能包含deny 表项。 可以配置ACL 拒绝某些ICMP 报文通过以防止“冲击波”等病毒攻击。 对于堆叠交换机,则只能在入口绑定ACL,不能在出口绑定ACL。,标准访问列表应用举例,要求:PC1(192.168.10.1)不能访问服务器server1(19
7、2.168.20.1)和server2(192.168.20.2), PC2(192.168.10.2)可以访问。 PC1接在端口1上, PC2接在端口2上;server1接在端口23上, server2接在端口24上。,switch#conf Switch(config)# ip access-list standard pc1toserver1 # deny host-source 192.168.10.1 #exit #int e0/0/23 #ip access-group pc1toserver1 out Switch(config)# ip access-list standard
8、 pc1toserver2 # deny host-source 192.168.10.1 #exit #int e0/0/24 #ip access-group pc1toserver2 out,配置命名扩展IP访问列表的步骤,创建一个命名扩展IP 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令: ip access-list extended 说明: name为访问列表的名字,字符串长度为116个字符,第一个字符不能为数字。,举例:创建一个名为test的扩展IP访问列表,ip acc
9、ess-list extended test,指定多条permit 或deny 规则,命令(过滤ICMP数据包) : deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time range ,说明 ,icmp 的类型,0255; ,icmp 的协议编号,0255; ,IP 优先级,07; ,tos 值,0-15 time-range-name ,时间范围名称。,指定多条permit 或deny 规则,命令(过滤IGMP数据包) : deny | pe
10、rmit igmp | any-source | host-source | any-destination | host-destination precedence tos time-range ,说明 ,igmp 的类型,0-255,指定多条permit 或deny 规则,命令(过滤TCP数据包) : deny | permit tcp | any-source | host-source sPort | any-destination |host-destination dPort ack+fin+psh+rst+urg+syn precedence tos time -range ,
11、说明 ,源端口号,0-65535; ,目的端口号,0-65535。,指定多条permit 或deny 规则,命令(过滤UDP数据包) : deny | permit udp | any-source | host-source sPort | any-destination |host-destination dPort precedence tos time -range ,指定多条permit 或deny 规则,命令(过滤IP等数据包) : deny | permit eigrp | gre | igrp | ipinip | ip | | any-source | host-source
12、 | any-destination | host-destination precedence tos time range ,举例:创建名为udpFlow的扩展访问列表。拒绝igmp 报文通过,允许目的地址为192.168.0.1 、目的端口为32 的udp 包通过。 #ip access-list extended udpFlow #deny igmp any-source any-destination #permit udp any-source host-destination 192.168.0.1 dPort 32,命名扩展IP访问列表应用举例,要求: 允许PC1访问serve
13、r的Telnet服务,但不能ping通它; 拒绝PC2访问server的Telnet服务,但能ping通它。,在5526交换机上进行配置 Ip access-list extended pc1toserver Permit tcp 192.168.100.0 0.0.0.255 host-destination 192.168.10.254 dport 23 Deny icmp host-source 192.168.100.1 host-destination 192.168.10.254 Ip access-list extended pc2toserver deny icmp host-
14、source 192.168.200.1 host-destination 192.168.10.254 Permit tcp host-source 192.168.100.1 host-destination 192.168.10.254 Firewall enable Firewall default permit Interface e0/0/1 Ip access-group pc1toserver in Interface e0/0/2 Ip access-group pc2toserver in,配置数字标准IP访问列表的步骤,创建一个数字标准IP 访问列表,并指定permit
15、或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个数字标准IP 访问列表,命令: access-list deny | permit | any-source | host-source 说明: num为访问列表的数字编号,取值199。 sIpAddr为源IP地址,sMask为源IP的反掩码。 如果已有此访问列表,则增加一条规则。,举例:创建一个编号为1的标准IP访问列表,允许192.168.1.0网段的数据通过。,access-list 1 permit 192.168.1.0 0.0.0.255,数字标准访问列表应用举例,要求:PC1(192.1
16、68.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2), PC2(192.168.10.2)可以访问。 PC1接在端口1上, PC2接在端口2上;server1接在端口23上, server2接在端口24上。,switch#conf Switch(config)# access-list 1 deny host-source 192.168.10.1 #exit #int e0/0/23 #ip access-group 1 out Switch(config)#access-list 2 deny host-source 192.
17、168.10.1 #exit #int e0/0/24 #ip access-group 2 out,配置数字扩展IP访问列表的步骤,创建一个数字扩展IP 访问列表,并指定permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个数字标准IP 访问列表,命令: access-list deny | permit 说明: num为访问列表的数字编号,取值100199。 sIpAddr为源IP地址,sMask为源IP的反掩码。 如果已有此访问列表,则增加一条规则。,举例:创建一个编号为101的扩展IP访问列表,允许192.168.1.0网段的主机访
18、问ftp服务器202.10.1.2。,access-list 101 permit tcp 192.168.1.0 0.0.0.255 host-destination 202.10.1.2 dport 21,数字扩展IP访问列表应用举例,要求: 允许PC1访问server的Telnet服务,但不能ping通它; 拒绝PC2访问server的Telnet服务,但能ping通它。,在5526交换机上进行配置 access-list 101 permit tcp 192.168.100.0 0.0.0.255 host-destination 192.168.10.254 dport 23 acc
19、ess-list 101 deny icmp host-source 192.168.100.1 host-destination 192.168.10.254 access-list 102 deny icmp host-source 192.168.200.1 host-destination 192.168.10.254 access-list 102 permit tcp host-source 192.168.100.1 host-destination 192.168.10.254 Firewall enable Firewall default permit Interface
20、e0/0/1 Ip access-group 101 in Interface e0/0/2 Ip access-group 102 in,基于时间的访问控制列表,概述 可以根据一天中的不同时间,或者根据一个星期中的不同日期,或者二者相结合,来控制对网络数据包的转发。 实现基于时间的访问列表的操作步骤 定义一个时间范围 在访问列表中引用时间范围,基于时间的访问控制列表的配置,第一步:时间范围命名 time-range 第二步:定义具体的时间范围 定义绝对时间范围 absolute Absolute-periodic 定义周期、重复使用的时间范围 periodic 第三步 在访问列表中引用时间范
21、围,说明 absolute-periodic Monday|Tuesday|Wednesday |Thursday|Friday| Saturday|Sunday to Monday.|Tuesday.|Wednesday.| Thursday.| Friday.|Saturday.|Sunday. Periodic Monday+Tuesday+Wednesday+Thursday+Friday +Saturday +Sunday| daily| weekdays | weekend to absolute Monday|Tuesday|Wednesday |Thursday|Friday|
22、 Saturday|Sunday to Monday.|Tuesday.| Wednesday.| Thursday.| Friday.|Saturday.|Sunday. 或absolute start end ,说明 periodic命令中参数,确保交换机时钟设置准确,开始时间必须小于结束时间,举例: 使Tuesday的9:15:30到Saturday 的12:30:00 时间段内配置生效 Switch(Config)#time-range dc_timer Switch(Config-Time-Range)#absolute-periodic Tuesday 9:15:30 to Sat
23、urday. 12:30:00 使Monday、Wednesday、Friday 和Sunday 四天内的14:30:00 到16:45:00 时间段配置生效 Switch (Config-Time-Range) #periodic Monday Wednesday Friday Sunday 14:30:00 to 16:45:00,基于时间访问列表应用举例,要求: 限制192.168.1.0网段的主机只能在2007年6月1日至2008年12月31日内的星期六的早上7:00到星期日的下午5:00进行WWW访问。,Route-config#time-range allow-www Route-
24、config-time-range#absolute start 7:00:00 2007.6.1 end 17:00:00 2008 .12.31 Route-config-time-range#periodic weekend 7:00:00 to 17:00:00 Route-config#ip access-list extended timeacl Route-config-ext-nacl#permit tcp 192.168.1.0 0.0.0.255 any-destination dport 80 time-range allow-www Route-config#firew
25、all enable Route-config#firewall default permit Route-config# int E0/0/1 Route-config-f0/1#ip access-group timeacl in,第五次实验 ACL配置(一),实验目的 理解ACL的作用 掌握交换机的命名标准ACL和命名扩展ACL的配置方法 掌握交换机的数字标准ACL和数字扩展ACL的配置方法 实验内容 见交换机实验中的实验三十一、三十二。,实验三十一标准ACL配置,PC1和PC2通过交换机A连到Server(假设为telnet服务器)。 要求: 不配置ACL时,PC1和PC2都可访问se
26、rver; 配置ACL后,PC1和PC2都不能访问server。只有更改了IP地址后才可访问;,Ip access-list standard test Deny 192.168.100.11 0.0.0.255 Deny 192.168.200.22 0.0.0.0 为什么会有下列结果?,实验三十二扩展ACL配置,PC1和PC2通过交换机A连到Server(假设为telnet服务器)。 要求: 不配置ACL时,PC1和PC2都可访问server; 配置ACL后,PC2不能访问server。只有更改了IP地址后才可访问;,Ip access-list extended test Deny tc
27、p host-source 192.168.200.22 host-destination 10.1.1.1 dport 23 为什么会有下列结果?,第六次实验ACL配置(二),实验目的 进一步熟悉和掌握交换机的ACL配置。 实验内容 见交换实验指导实验三十三、三十四,实验三十三单向访问控制的实现,PC1和PC2通过交换机A相连。 要求: 不配置ACL时,PC1和PC2可以互访; 配置ACL后, PC1可以访问PC2,但PC2不能访问PC1 (如ping)。,Ip access-list extended test Deny icmp host-source 192.168.200.22 ho
28、st-destination 192.168.100.11 8 Int e0/0/1 Ip access-group test in,实验三十四配置访问列表过滤病毒,目的 了解病毒的工作原理,掌握常见病毒的特征; 掌握过滤病毒的方法 要求 通过配置,使交换机能隔离病毒。,病毒运行时会不停地利用IP扫描技术寻找网络上系统的漏洞进行攻击,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、文件丢失或被破坏、不停重启、甚至导致系统崩溃等。 病毒常会利用135、139、 69 、4444、445等端口。,第一步:创建acl ip access-list extended antivi
29、rus 第二步:制定过滤规则 /禁ping deny icmp any-source any-destination /用于控制Blaster蠕虫的传播 deny udp any-source any-destination d-port 69 deny tcp any-source any-destination d-port 4444 /用于控制冲击波病毒的扫描和攻击 deny tcp any-source any-destination d-port 135 deny udp any-source any-destination d-port 135 deny udp any-sourc
30、e any-destination d-port 137 deny udp any-source any-destination d-port eq 138 deny tcp any-source any-destination d-port 139 deny udp any-source any-destination d-port 139,deny tcp any-source any-destination d-port 445 deny udp any-source any-destination d-port 445 deny udp any-source any-destinati
31、on d-port 593 deny tcp any-source any-destination d-port 593 deny tcp any-source any-destination d-port 5554 deny tcp any-source any-destination d-port 9995 deny tcp any-source any-destination d-port 9996 启用防火墙功能,并配置默认规则 Firewall enable Firewall default permit 将ACL应用于端口 Ip access-group antivirus in,
32、MAC 访问列表类型 数字标准MAC 访问列表 数字扩展MAC 访问列表 命名扩展MAC 访问列表,配置数字标准MAC访问列表的步骤,创建数字标准MAC 访问列表 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建数字标准MAC 访问列表,命令: access-list deny|permit any-source-mac | host-source-mac | 功能:定义一条标准数字MAC ACL 规则 参数: 访问表号,取值700 到799 ; , 源MAC 地址; 源MAC 地址的掩码(反掩码) 说明:当用户第一次指定特定时,创建此编号的ACL,之后在此ACL 中添
33、加表项。,举例:允许源MAC 地址为00-00-XX-XX-00-01 的数据包通过,拒绝源地址为00-00-00-XX-00-ab 的数据包通过。 Switch(Config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-01 Switch(Config)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-ab,配置数字扩展MAC访问列表的步骤,创建数字扩展MAC 访问列表 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建数字扩展MAC 访
34、问列表,命令: access-list deny|permit any-source -mac | host-source-mac | any-destination-mac| host-destination-mac | untagged-eth2|tagged-eth2| untagged-802.3 |tagged-802.3 参数: 访问表号,取值11001199; untagged-eth2 未标记的ethernet II 包格式;tagged-eth2 标记的ethernet II 包格式;untagged-802.3 未标记的ethernet 802.3 包格式;tagged-8
35、02.3 标记的ethernet 802.3 包格式; Offset(x) 从包头开始起的偏移量,范围为(12-79);Length(x) 长度为1-4 ;Value(x) 16 进制数表示,取值范围:当Length(x) =1 为0-ff , 当Length(x) =2为0-ffff , 当Length(x) =3 为0-ffffff , 当Length(x) =4 为0-ffffffff ; 对于Offset(x),对不同的数据帧类型,它的取值范围不同:对untagged-eth2 类型帧: ,对untagged-802.3 类型帧: ,对tagged-eth2 类型帧: ,对tagged
36、-802.3 类型帧:,举例:允许任意源MAC 地址任意目的MAC 地址的tagged-eth2,且其第15 16 个字节分别为0x08 ,0x0 的包通过 Switch(Config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 14 2 0800,配置命名扩展MAC访问列表的步骤,创建一个命名扩展MAC 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令: Mac-access-list e
37、xtended 说明: name为访问列表的名字,字符串长度为116个字符,第一个字符不能为数字。,举例:创建一个名为test的扩展mac访问列表,Mac-access-list extended test,指定多条permit 或deny 规则,命令: deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-eth2 ethertype protocol-mask deny|permit any-source -mac|host-source-mac |
38、 any-destination-mac|host-destination-mac | tagged-eth2 cos vlanId ,指定多条permit 或deny 规则,命令: deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-802.3 deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | tagged-802.3 co
39、s vlanId ,指定多条permit 或deny 规则,命令: deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | cos vlanId ethertype ,说明 : cos-val: cos 值,0-7;cos-bitmask : cos 掩码, 0-7 反掩码且掩码比特连续; vid-value: vlan 号,1-4094;vid-bitmask:vlan 掩码, 0-4095 ,反掩码且掩码比特连续; protocol : 特定的以太网协议号,153665
40、535;protocol-bitmask: 协议掩码,065535, 反掩码且掩码比特连续 注意:掩码比特连续是指,掩码有效位必须从左第一位开始连续有效,不允许中间插入无效位,例如:一个字节的反掩码形式为:00001111b ;正掩码形式为:1110000;不允许00010011。,例1管理员不希望交换机10号端口的网段中00-12-11-23-xx-xx的802.3数据报文的发出。,配置如下: switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac tagged-
41、802.3 switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac untagged-802.3 switch(Config)#firewall enable switch(Config)#firewall default permit switch(Config)#interface ethernet 0/0/10 switch(Config-Ethernet0/0/10)#mac access-group 1110 in,MAC-IP 访问列表类型 数字扩展MA
42、C-IP 访问列表 命名扩展MAC-IP 访问列表,配置数字扩展MAC-IP访问列表的步骤,创建数字扩展MAC-IP 访问列表 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建数字扩展MAC-IP 访问列表,命令: access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destination-mac | icmp |any-source |host-source |any-destination| host-destination precedence to
43、s time -range access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destination-mac | igmp |any-source|host-source |any-destination| host-destination precedence tos time -range ,access-list deny|permit any-source -mac|host-source-mac | any-destination-mac| host-destinat
44、ion-mac | tcp |any-source| host-source s-port |any-destination|host-destination d-port ack+fin+psh+rst+urg+syn precedence tos time -range access-list deny|permitany-source -mac| host-source-mac |any-destination-mac| host-destination-mac| udp |any-source| host-source s-port |any-destination| host-des
45、tination d-port precedence tos time-range ,access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destination-mac | eigrp|gre|igrp|ip|ipinip|ospf| |any-source|host-source |any-destination| host-destination precedence tostime -range,参数: access-list-number 访问表号,取值31003199
46、; protocol 名字或IP 协议的号。它可以是关键字 eigrp, gre, icmp, igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表示IP 协议号的0 到255 的一个整数。为了匹配任何Internet 协议(包括ICMP,TCP 和UDP)使用关键字ip。,例:允许源MAC 为00-12-34-45-XX-XX,任意目的MAC 地址,源IP 地址为:100.1.1.0 ,0.255.255.255 , 任意目的IP 地址,且源端口是100,目的端口是40000 的TCP 报文通过。,Switch(Config)# access-li
47、st 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 100.1.1.0 0.255.255.255 s-port 100 any-destination d-port 40000,举例:拒绝任意源MAC 地址及目的MAC 地址,任意源IP 地址及目的IP 地址,且源端口是100,目的端口是40000 的UDP 报文通过。 Switch(Config)# access-list 3100 deny any-source-mac any-destination-mac udp any-source s
48、-port 100 any-destination d-port 40000,例2.交换机10号端口连接的网段MAC地址是00-11-11-11-xx-xx 并且IP地址是192.168.6.14/24的网段,管理员不希望使用FTP,也不允许外网PING 此网段的任何一台主机。,配置如下: switch(Config)#access-list 3110 deny 00-11-11-11-00-00 00-00-00-00-ff-ff any-destination-mac tcp 192.168.6.14 0.0.0.255 any-destination d-port 21 switch(Config)#access-list 3120 deny any-source-mac 00-11-11-11-00-00 00-00-00-00-ff-ff icmp any-source 192.168.6.14 0.0.0.255 switch(Con