神州数码ACL原理和配置1

《神州数码ACL原理和配置1》由会员分享，可在线阅读，更多相关《神州数码ACL原理和配置1（20页珍藏版）》请在装配图网上搜索。

1、ACL原理和配置原理和配置靳伟靳伟DCNDCN技术支持部技术支持部ACLACL原理和配置原理和配置 -适用于适用于DCS-3926S,5526S,5512GCDCS-3926S,5526S,5512GC配置任务列表：配置任务列表：创建一个命名标准创建一个命名标准IP IP 访问列表访问列表(最后隐含默认是允许最后隐含默认是允许):):配置包过滤功能配置包过滤功能:（1 1）全局打开包过滤功能）全局打开包过滤功能（2 2）配置默认动作）配置默认动作(default action)default action)将将accesslaccessl-list-list 绑定到特定端口的特定方向绑定到特定

2、端口的特定方向;ACLACL原理和配置原理和配置 -适用于适用于DCS-3926S,5526S,5512GCDCS-3926S,5526S,5512GC vlan 2 vlan 3 vlan 4 禁止VLAN2的ICMP数据报通过，并过滤掉某些端口ACLACL原理和配置原理和配置 -适用于适用于DCS-3926S,5526S,5512GCDCS-3926S,5526S,5512GCACL配置实例配置实例:Vlan 2 vlan 2!Vlan 3 vlan 3!Vlan 4 vlan 4!ip access-list extended test1 deny icmp 0.0.0.0 255.25

3、5.255.255 0.0.0.0 255.255.255.255 permit tcp 10.1.157.76 0.0.0.0 0.0.0.0 255.255.255.255 d-port 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 ACLACL原理和配置原理和配置 -适用于适用于DCS-3926S,5526S,5512GCDCS-3926S,5526S,5

4、512GCfirewall enable!Interface Ethernet0/0/2 ip access-group test1 in switchport access vlan 2 Interface Ethernet0/0/3 switchport access vlan 2 Interface Ethernet0/0/4 switchport access vlan 3 Interface Ethernet0/0/5 switchport access vlan 3 Interface Ethernet0/0/6 switchport access vlan 4 Interface

5、 Ethernet0/0/7 switchport access vlan 4 命令命令：firewall enable|disablefirewall enable|disable 功能功能：允许防火墙起作用或禁止防火墙起作用。参数参数：enable 表示允许防火墙起作用；disable 表示禁止防火墙起作用。缺省情况缺省情况：缺省为防火墙不起作用。命令模式命令模式：全局配置模式使用指南使用指南：在允许和禁止防火墙时，都可以设置访问规则。在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不

6、起作用后将删定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有除端口上绑定的所有ACLACL。ACLACL原理和配置原理和配置 -适用于适用于DCS-3926S,5526S,5512GCDCS-3926S,5526S,5512GC命令解释命令解释:命令命令：firewall default permit|deny功能功能：设置防火墙默认动作。参数参数：permit 表示允许数据包通过；deny 表示拒绝数据包通过。命令模式命令模式：全局配置模式缺省情况缺省情况：缺省动作为permit。使用指南：使用指南：此命令只影响端口入口方向的此命令只影响端口入口方向的IP IP 包，其余情况下数

7、据包均可通过交换包，其余情况下数据包均可通过交换机机ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600 访问控制列表（ACL）是一种QoS 策略，用来控制交换机或路由器端口对于数据包的允许或拒绝。访问控制列表实际上是过滤列表，数据的类型使用策略条件定义（policy condition），策略行为（policy action）则决定允许或拒绝。总体来说有3 类访问控制列表：Layer 2 ACLs：用来过滤MAC 层数据；Layer 3/4 ACLs：用来过滤网路层数据；Multicast ACL：用来过滤IGMP 数据。ACLACL原理和配

8、置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600访问控制列表参数访问控制列表参数:最大的策略规则数量2048最大的策略条件（policy condition）数量2048最大的策略行为（policy action）数量2048最大的策略服务（policy service）数量256最大的组（网络，MAC，服务，端口）数量1024最大的组条目数量每组512最大的流数量64000ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600访问控制列表默认配置访问控制列表默认配置属性 命令 默认取值Global桥接配置 qo

9、s default bridged disposition acceptGlobal路由配置 qos default routed disposition acceptGlobal 组播配置 qos default multicast disposition acceptGlobal 策略规则配置 policy rule disposition acceptGlobal 策略规则优先 policy rule precedence 0（最低）ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600 策略优先策略优先 交换机对进入交换机的数据流根据策略

10、优先进行分类。优先是根据规则的类型进行分类的（Layer 2 数据源，Layer 2 数据目的或Layer 3 数据）。而且每条策略有从0 到65535 的优先级。当1 条数据流到达交换机时，Layer 2 数据源首先进行匹配检验。如果没有匹配，进行Layer 2 数据目的匹配。如果还没有匹配则进行Layer 3 数据匹配。如果1 条数据流符合1 条以上的规则，优先级决定哪条规则起作用。ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600配置访问控制列表通常有下列步骤：配置访问控制列表通常有下列步骤：1.1.设置设置global 配置配置:默认

11、状态下，不和任何策略匹配的数据流在交换机上允许。Global 命令包括：qos default bridged disposition qos default routed disposition qos default multicast disposition 改变global 默认配置，使用相应的命令，并在disposition 后面加上accept，drop 或deny。ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、760076002.创建过滤流量的策略条件创建过滤流量的策略条件:单一策略条件：可以包括源IP 地址，目的IP 地址，源IP 端口或

12、目的IP 端口，也可以包括网络组，MAC 组，端口组或服务组。使用policy condition 命令创建策略条件，例如：-policy condition subnet source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 策略条件组：可使用group 关键字，这样1 条策略条件可以过滤多个地址或端口。-policy network group netgroup2 10.10.5.1 10.10.5.2 10.10.5.3-policy condition cond2

13、 source network group netgroup2ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600 3.创建策略行为：允许或拒绝创建策略行为：允许或拒绝 使用policy action disposition 命令来创建策略行为，disposition 后面可以使用的关键字为accept 或deny；如果用户没有指定行为，则默认accept；ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、760076004.创建联合策略条件和策略行为的策略规则：创建联合策略条件和策略行为的策略规则：策略规则

14、由策略条件和策略行为组成-policy condition A1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0-policy action B1 disposition deny-policy rule C1 condition A1 action B1输入上述命令后，需要使用qos apply 命令启用。ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、760076004.创建联合策略条件和策略行为的策略规则创建联合策略条件和

15、策略行为的策略规则(续续)：反身规则（Reflexive Rules）单向访问（只支持UDP和TCP端口）反身策略允许反向的数据流通过交换机返回，而通常这些数据流是被拒绝的。例如：配置了2 条策略规则，规则Rule2 丢弃掉所有目的地址是192.68.82.0 子网的流量，而规则Rule2 则配置成反身规则，所以反向的数据流不会被丢弃。-policy condition Source1 source ip 192.68.82.0 mask 255.255.255.0-policy condition Dest1 destination ip 192.68.82.0 mask 255.255.2

16、55.0-policy action Permit disposition accept-policy action Prevent disposition deny-policy rule Rule1 condition Source1 action Permit reflexive-policy rule Rule2 condition Dest1 action PreventACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600 配置实例一配置实例一：(禁止禁止VLAN1和和VLAN2之间的互访，并且禁止在之间的互访，并且禁止在VLAN1内

17、部内部PC之间的互访之间的互访)!Configuration:!VLAN:vlan 1 router ip 192.168.10.1 255.255.255.0 e2vlan 2 enable name VLAN 2vlan 2 router ip 192.168.12.1 255.255.255.0 e2vlan 2 port default 1/2!QOS:qos classifyl3 bridged /检查桥接数据包的三层信息检查桥接数据包的三层信息/policy condition A1 source ip 192.168.10.0 mask 255.255.255.0 destina

18、tion ip 192.168.12.0 mask 255.255.255.0policy condition A2 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.10.0 mask 255.255.255.0policy action B1 disposition denypolicy rule C1 condition A1 action B1policy rule C2 condition A2 action B1qos apply ACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCR

19、S-7200、76007600配置实例二配置实例二：(禁止禁止VLAN2访问访问TCP的的135139端口，并且在交换机上禁止端口，并且在交换机上禁止ICMP数据通过数据通过)!Configuration:!VLAN:vlan 2 enable name VLAN 2vlan 2 router ip 192.168.2.1 255.255.255.0 e2vlan 2 port default 1/1vlan 2 port default 1/2vlan 3 enable name VLAN 3vlan 3 router ip 192.168.3.1 255.255.255.0 e2vlan

20、3 port default 1/5vlan 3 port default 1/6!QOS:policy service kkk destination tcp port 135-139policy condition A1 source ip 192.168.2.0 mask 255.255.255.0 destination tcp port 135-139policy condition A2 ip protocol 1policy action B1 disposition denypolicy rule C1 condition A1 action B1policy rule C2

21、condition A2 action B1qos applyACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600配置实例三配置实例三：(单向访问，单向访问，VLAN2可以访问可以访问VLAN3，担担VLAN3不能访问不能访问VLAN2。请验证此时请验证此时VLAN2是否可以是否可以PING同同VLAN3？)!Configuration:!VLAN:vlan 2 enable name VLAN 2vlan 2 router ip 192.168.2.1 255.255.255.0 e2vlan 2 port default 1/1vlan 2

22、 port default 1/2vlan 3 enable name VLAN 3vlan 3 router ip 192.168.3.1 255.255.255.0 e2vlan 3 port default 1/5vlan 3 port default 1/6!QOS:policy condition A3 source ip 192.168.3.0 mask 255.255.255.0 destination ip 192.168.2.0 mask 255.255.255.0policy condition A4 source ip 192.168.2.0 mask 255.255.2

23、55.0 destination ip 192.168.3.0 mask 255.255.255.0policy action B1 disposition denypolicy action B2 disposition accept policy rule C1 condition A4 action B2 reflexive /顺序不能颠倒/(如果顺序倒过来可否有其他办法实现？)policy rule C2 condition A3 action B1qos applyACLACL原理和配置原理和配置 -适用于适用于DCRS-7200DCRS-7200、76007600检验配置,查看访问控制列表 show policy condition 显示交换机上所有已经应用和尚未应用的策略条件，使用applied 关键字只显示已经应用的策略条件show policy action 显示交换机上所有已经应用和尚未应用的策略行为，使用applied 关键字只显示已经应用的策略行为show policy rule 显示交换机上所有已经应用和尚未应用的策略规则谢谢大家！谢谢大家！欢迎指正！欢迎指正！