ACL原理和配置靳伟 DCN技术支持部ACL原理和配置-适用于DCS-3926S,5526S,5512GC配置任务列表:Ø 创建一个命名标准IP 访问列表(最后隐含默认是允许):Ø 配置包过滤功能: (1)全局打开包过滤功能 (2)配置默认动作(default action)Ø 将accessl-list 绑定到特定端口的特定方向;ACL原理和配置-适用于DCS-3926S,5526S,5512GCvlan 2 vlan 3 vlan 4禁止VLAN2的ICMP数据报通过,并过滤掉某些端口ACL原理和配置-适用于DCS-3926S,5526S,5512GCACL配置实例:Vlan 2• vlan 2 !•Vlan 3• vlan 3!•Vlan 4• vlan 4! •ip access-list extended test1 • deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 • permit tcp 10.1.157.76 0.0.0.0 0.0.0.0 255.255.255.255 d-port 80 • permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 • permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 ACL原理和配置-适用于DCS-3926S,5526S,5512GC •firewall enable •!•Interface Ethernet0/0/2• ip access-group test1 in • switchport access vlan 2 •Interface Ethernet0/0/3• switchport access vlan 2 •Interface Ethernet0/0/4• switchport access vlan 3 •Interface Ethernet0/0/5• switchport access vlan 3 •Interface Ethernet0/0/6• switchport access vlan 4 •Interface Ethernet0/0/7• switchport access vlan 4 命令:firewall { enable | disable} 功能:允许防火墙起作用或禁止防火墙起作用。
参数:enable 表示允许防火墙起作用;disable 表示禁止防火墙起作用 缺省情况:缺省为防火墙不起作用 命令模式:全局配置模式 使用指南: 在允许和禁止防火墙时,都可以设置访问规则 但只有在防火墙起作用时才可以将规则应用至特 定端口的特定方向上使防火墙不起作用后将删 除端口上绑定的所有ACLACL原理和配置-适用于DCS-3926S,5526S,5512GCØ 命令解释:命令:firewall default {permit | deny}功能:设置防火墙默认动作参数: permit 表示允许数据包通过;deny 表示拒绝数据包通过命令模式:全局配置模式缺省情况:缺省动作为permit使用指南:此命令只影响端口入口方向的IP 包,其余情况下数据包均可通过交换 机ACL原理和配置-适用于DCRS-7200、7600访问控制列表(ACL)是一种QoS 策略,用来控制交换机或路由器端口对 于数据包的允许或拒绝访问控制列表实际上是过滤列表,数据的类型使用策 略条件定义(policy condition),策略行为(policy action)则决定允许或拒绝 总体来说有3 类访问控制列表:Ø Layer 2 ACLs:用来过滤MAC 层数据;Ø Layer 3/4 ACLs:用来过滤网路层数据;Ø Multicast ACL:用来过滤IGMP 数据。
ACL原理和配置-适用于DCRS-7200、7600访问控制列表参数:Ø 最大的策略规则数量2048Ø 最大的策略条件(policy condition)数量2048Ø 最大的策略行为(policy action)数量2048Ø 最大的策略服务(policy service)数量256Ø 最大的组(网络,MAC,服务,端口)数量1024Ø 最大的组条目数量每组512Ø 最大的流数量64000ACL原理和配置-适用于DCRS-7200、7600访问控制列表默认配置属性 命令 默认取值Global桥接配置 qos default bridged disposition acceptGlobal路由配置 qos default routed disposition acceptGlobal 组播配置 qos default multicast disposition acceptGlobal 策略规则配置 policy rule disposition acceptGlobal 策略规则优先 policy rule precedence 0(最 低)ACL原理和配置-适用于DCRS-7200、7600 策略优先交换机对进入交换机的数据流根据策略优先进行分类。
优先是根据规则 的类型进行分类的(Layer 2 数据源,Layer 2 数据目的或Layer 3 数据) 而且每条策略有从0 到65535 的优先级当1 条数据流到达交换机时,Layer 2 数据源首先进行匹配检验如果没 有匹配,进行Layer 2 数据目的匹配如果还没有匹配则进行Layer 3 数据匹配如果1 条数据流符合1 条以上 的规则,优先级决定哪条规则起作用ACL原理和配置-适用于DCRS-7200、7600配置访问控制列表通常有下列步骤:1.设置global 配置:2. 默认状态下,不和任何策略匹配的数据流在交换机上允许3. Global 命令包括:4. qos default bridged disposition5. qos default routed disposition6. qos default multicast disposition7. 改变global 默认配置,使用相应的命令,并在disposition 后面加上 accept,drop 或denyACL原理和配置-适用于DCRS-7200、76002. 创建过滤流量的策略条件:Ø 单一策略条件:可以包括源IP 地址,目的IP 地址,源IP 端口或目的IP 端口,也可以包括网络组,MAC 组,端口组或服务组。
使用policy condition 命令创建策略条件,例如:-> policy condition subnet source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0Ø 策略条件组:可使用group 关键字,这样1 条策略条件可以过滤多个地址 或端口> policy network group netgroup2 10.10.5.1 10.10.5.2 10.10.5.3-> policy condition cond2 source network group netgroup2ACL原理和配置-适用于DCRS-7200、76003. 创建策略行为:允许或拒绝使用policy action disposition 命令来创建策略行为,disposition 后面 可以使用的关键字为accept 或deny;如果用户没有指定行为,则默认accept;ACL原理和配置-适用于DCRS-7200、76004. 创建联合策略条件和策略行为的策略规则:策略规则由策略条件和策略行为组成-> policy condition A1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0-> policy action B1 disposition deny-> policy rule C1 condition A1 action B1输入上述命令后,需要使用qos apply 命令启用。
ACL原理和配置-适用于DCRS-7200、76004. 创建联合策略条件和策略行为的策略规则(续):Ø 反身规则(Reflexive Rules)--单向访问(只支持UDP和TCP端口)反身策略允许反向的数据流通过交换机返回,而通常这些数据流是被拒绝的例如:配置了2 条策略规则,规则Rule2 丢弃掉所有目的地址是192.68.82.0 子网 的流量,而规则Rule2 则配置成反身规则,所以反向的数据流不会被丢弃> policy condition Source1 source ip 192.68.82.0 mask 255.255.255.0-> policy condition Dest1 destination ip 192.68.82.0 mask 255.255.255.0-> policy action Permit disposition accept-> policy action Prevent disposition deny-> policy rule Rule1 condition Source1 action Permit reflexive-> policy rule Rule2 condition Dest1 action PreventACL原理和配置-适用于DCRS-7200、7600配置实例一:(禁止VLAN1和VLAN2之间的互访,并且禁止在VLAN1内部PC之间的互访)! Configuration:! VLAN :vlan 1 router ip 192.168.10.1 255.255.255.0 e2vlan 2 enable name “VLAN 2“vlan 2 router ip 192.168.12.1 255.255.255.0 e2vlan 2 port default 1/2! QOS :qos classifyl3 bridged //检查桥接数据包的三层信息//policy condition A1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0policy condition A2 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.10.0 mask 255.255.255.0policy action B1 disposition denypolicy rule C1 condition A1 action B1policy rule C2 condition A2 action B1qos applyACL原理和配置-适用于DCRS-7200、7600配置实例二:(禁止VLAN2访问TCP的135-139端口,并且在交换机上禁止ICMP数据通过)! Config。