收藏
下载资源

三层交换机访问控制列表acl的配置

上传人:第*** 文档编号:53706619 上传时间:2018-09-04 格式:PPT 页数:89 大小:1.29MB
返回 下载 相关 举报
三层交换机访问控制列表acl的配置_第1页
第1页 / 共89页
三层交换机访问控制列表acl的配置_第2页
第2页 / 共89页
三层交换机访问控制列表acl的配置_第3页
第3页 / 共89页
三层交换机访问控制列表acl的配置_第4页
第4页 / 共89页
三层交换机访问控制列表acl的配置_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《三层交换机访问控制列表acl的配置》由会员分享,可在线阅读,更多相关《三层交换机访问控制列表acl的配置(89页珍藏版)》请在金锄头文库上搜索。

1、三层交换机 访问列表ACL的配置,ACL 是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。 ACL 是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。 根据不同的标准,ACL可以有如下分类: 根据过滤信息:ip access-list (三层以上信息),mac access-list (二层信息),mac-ip access-list (二层以上信息)

2、。 根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。 根据命名方式:数字(numbered)和命名(named),IP ACL (1)配置数字标准IP 访问列表 (2)配置数字扩展IP 访问列表 (3)配置命名标准IP 访问列表 (4) 配置命名扩展IP 访问列表 MAC ACL (1)配置数字标准MAC 访问列表 (2)配置数字扩展MAC 访问列表 (3)配置命名扩展MAC 访问列表 MAC-IP (1)配置数字扩展MAC-IP 访问列表 (2)配置命名扩展MAC-IP 访问列表,IP 访问列表类型 命名标准IP 访问列表 命名扩展I

3、P 访问列表 数字标准IP 访问列表 数字扩展IP 访问列表 基于时间的访问列表,配置命名标准IP访问列表的步骤,创建一个命名标准IP 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个命名标准IP 访问列表,命令: ip access-list standard 说明: name为访问列表的名字,字符串长度为116个字符,第一个字符不能为数字。,举例:创建一个名为test的标准IP访问列表,ip access-list standard test,指定多条permit 或deny 规则,命令: deny | perm

4、it | any-source | host-source 说明: sIpAddr为源IP地址,sMask为源IP的反掩码。,举例:允许源地址为192.168.10.0/24的数据包通过,拒绝源地址为192.168.20.1的数据包通过。,Permit 192.168.10.0 0.0.0.255 Deny host-source 192.168.20.1,开启交换机的包过滤功能,相关命令: Firewall enable 作用:开启交换机的包过滤功能(即防火墙功能) Firewall disable 作用:关闭交换机的包过滤功能,说明 在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙

5、起作用时才可以将规则应用至特定端口的特定方向上; 使防火墙不起作用后将删除端口上绑定的所有ACL。,设置包过滤的默认动作,相关命令: Firewall default permit 作用:设置其默认动作为允许 Firewall default deny 作用:设置其默认动作为拒绝 说明 此命令只影响端口入口方向的IP 包,其余情况下数据包均可通过交换机。,将访问列表应用到指定端口,命令: Interface Ip access-group in|out 作用:在端口的某个方向上应用一条access-list 说明 一个端口可以绑定一条入口规则和一条出口规则; ACL 绑定到出口时只能包含den

6、y 规则; 如果是堆叠交换机,则只能在入口绑定ACL,不能在出口绑定ACL。,总结: 对ACL 中的表项的检查是自上而下的,只要匹配一条表项,对此ACL 的检查就马上结束。 端口特定方向上没有绑定ACL 或没有任何ACL 表项匹配时,才会使用默认规则。 每个端口入口和出口可以各绑定一条IP ACL 。 当一条ACL 被绑定到端口出口方向时,只能包含deny 表项。 可以配置ACL 拒绝某些ICMP 报文通过以防止“冲击波”等病毒攻击。 对于堆叠交换机,则只能在入口绑定ACL,不能在出口绑定ACL。,标准访问列表应用举例,要求:PC1(192.168.10.1)不能访问服务器server1(19

7、2.168.20.1)和server2(192.168.20.2), PC2(192.168.10.2)可以访问。 PC1接在端口1上, PC2接在端口2上;server1接在端口23上, server2接在端口24上。,switch#conf Switch(config)# ip access-list standard pc1toserver1 # deny host-source 192.168.10.1 #exit #int e0/0/23 #ip access-group pc1toserver1 out Switch(config)# ip access-list standard

8、 pc1toserver2 # deny host-source 192.168.10.1 #exit #int e0/0/24 #ip access-group pc1toserver2 out,配置命名扩展IP访问列表的步骤,创建一个命名扩展IP 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个命名扩展IP 访问列表,命令: ip access-list extended 说明: name为访问列表的名字,字符串长度为116个字符,第一个字符不能为数字。,举例:创建一个名为test的扩展IP访问列表,ip acc

9、ess-list extended test,指定多条permit 或deny 规则,命令(过滤ICMP数据包) : deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time range ,说明 ,icmp 的类型,0255; ,icmp 的协议编号,0255; ,IP 优先级,07; ,tos 值,0-15 time-range-name ,时间范围名称。,指定多条permit 或deny 规则,命令(过滤IGMP数据包) : deny | pe

10、rmit igmp | any-source | host-source | any-destination | host-destination precedence tos time-range ,说明 ,igmp 的类型,0-255,指定多条permit 或deny 规则,命令(过滤TCP数据包) : deny | permit tcp | any-source | host-source sPort | any-destination |host-destination dPort ack+fin+psh+rst+urg+syn precedence tos time -range ,

11、说明 ,源端口号,0-65535; ,目的端口号,0-65535。,指定多条permit 或deny 规则,命令(过滤UDP数据包) : deny | permit udp | any-source | host-source sPort | any-destination |host-destination dPort precedence tos time -range ,指定多条permit 或deny 规则,命令(过滤IP等数据包) : deny | permit eigrp | gre | igrp | ipinip | ip | | any-source | host-source

12、 | any-destination | host-destination precedence tos time range ,举例:创建名为udpFlow的扩展访问列表。拒绝igmp 报文通过,允许目的地址为192.168.0.1 、目的端口为32 的udp 包通过。 #ip access-list extended udpFlow #deny igmp any-source any-destination #permit udp any-source host-destination 192.168.0.1 dPort 32,命名扩展IP访问列表应用举例,要求: 允许PC1访问serve

13、r的Telnet服务,但不能ping通它; 拒绝PC2访问server的Telnet服务,但能ping通它。,在5526交换机上进行配置 Ip access-list extended pc1toserver Permit tcp 192.168.100.0 0.0.0.255 host-destination 192.168.10.254 dport 23 Deny icmp host-source 192.168.100.1 host-destination 192.168.10.254 Ip access-list extended pc2toserver deny icmp host-

14、source 192.168.200.1 host-destination 192.168.10.254 Permit tcp host-source 192.168.100.1 host-destination 192.168.10.254 Firewall enable Firewall default permit Interface e0/0/1 Ip access-group pc1toserver in Interface e0/0/2 Ip access-group pc2toserver in,配置数字标准IP访问列表的步骤,创建一个数字标准IP 访问列表,并指定permit

15、或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,创建一个数字标准IP 访问列表,命令: access-list deny | permit | any-source | host-source 说明: num为访问列表的数字编号,取值199。 sIpAddr为源IP地址,sMask为源IP的反掩码。 如果已有此访问列表,则增加一条规则。,举例:创建一个编号为1的标准IP访问列表,允许192.168.1.0网段的数据通过。,access-list 1 permit 192.168.1.0 0.0.0.255,数字标准访问列表应用举例,要求:PC1(192.1

16、68.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2), PC2(192.168.10.2)可以访问。 PC1接在端口1上, PC2接在端口2上;server1接在端口23上, server2接在端口24上。,switch#conf Switch(config)# access-list 1 deny host-source 192.168.10.1 #exit #int e0/0/23 #ip access-group 1 out Switch(config)#access-list 2 deny host-source 192.168.10.1 #exit #int e0/0/24 #ip access-group 2 out,配置数字扩展IP访问列表的步骤,创建一个数字扩展IP 访问列表,并指定permit 或deny 规则 开启交换机的包过滤功能,并设置其默认动作 将访问列表应用到指定端口,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 外语文库 > 英语学习

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号