[计算机硬件及网络]DCN-TS07-ACL的应用

《[计算机硬件及网络]DCN-TS07-ACL的应用》由会员分享，可在线阅读，更多相关《[计算机硬件及网络]DCN-TS07-ACL的应用（31页珍藏版）》请在装配图网上搜索。

1、 计算机硬件及网络计算机硬件及网络DCN-TS07-ACLDCN-TS07-ACL的应用的应用ACL的应用的应用ACL定义定义ACL功能功能ACL配置步骤配置步骤ACL应用举例应用举例ACL与其它厂家的对比与其它厂家的对比ACL的定义的定义ACL(AccessControlLists)是交换机实现的一种数据包过是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。可以对网络访问进行控制，有效保证网络的安全运行。标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协

2、议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?SourceACL的定义的定义 标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协议扩展扩展检查目的地址检查目的地址允许或禁止特定的协议允许或禁止特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocolACL的定义的定义 标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协议扩展扩展检查目的地址检查目的地址允许或禁

3、止特定的协议允许或禁止特定的协议InboundorOutboundOutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocolACL的定义的定义172.16.0.0172.17.0.0Internet 管理随网络扩张而增长的网络流量管理随网络扩张而增长的网络流量 过滤通过交换机和路由器的数据包过滤通过交换机和路由器的数据包为什么使用访问控制列表？为什么使用访问控制列表？Interface(s)DestinationPackets to interfacesin the acce

4、ss groupPacket Discard BucketYDenyDenyYMatchFirstTest?Permit列表的检测列表的检测-允许或禁止允许或禁止Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的检测列表的检测-允许或禁止允许或禁止Packets to Interface(s)in the Access GroupPacket Di

5、scard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit列表的检测列表的检测-允许或禁止允许或禁止Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTe

6、st?YYNYYPermitImplicit Deny如果没有匹配如果没有匹配DenyDenyN列表的检测列表的检测-允许或禁止允许或禁止Number Range/IdentifierAccess List TypeIP 1-99Standard标准标准IP列表列表(1to99)检查所有包的源地址检查所有包的源地址怎样定义访问控制列表？怎样定义访问控制列表？Number Range/IdentifierAccess List TypeIP 1-99100-199StandardExtended标准标准IP列表列表(1to99)检查所有包的源地址检查所有包的源地址扩展扩展IP列表列表(100to

7、199)能够检查源地址和目的地址，特定的能够检查源地址和目的地址，特定的TCP/IP协议协议,，和目的端口，和目的端口怎样定义访问控制列表？怎样定义访问控制列表？Number Range/IdentifierIP 1-99100-199,1300-1999,2000-2699Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)StandardExtendedSAP filtersNamedStandardExtendedNamedAccess List TypeIPX 标准标准

8、 IP IP 列表列表 (1 to 99)(1 to 99)检查所有包的源地址检查所有包的源地址 扩展扩展 IP IP 列表列表 (100 to 199)(100 to 199)能够检查源地址和目的地址，特定的能够检查源地址和目的地址，特定的 TCP/IP TCP/IP 协议协议,，和目的端口，和目的端口 其它的访问列表号其它的访问列表号 对应其他的网络协议对应其他的网络协议怎样定义访问控制列表？怎样定义访问控制列表？SourceAddressSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example

9、,HDLC)DenyPermit Useaccess list statements1-99 标准列表检查过程标准列表检查过程DestinationAddressSourceAddressProtocolPortNumberSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit扩展列表检查过程扩展列表检查过程二、二、ACL功能功能1、拒绝特定的数据包

10、进、拒绝特定的数据包进/出端口。出端口。2、允许特定的数据包进端口。、允许特定的数据包进端口。3、和、和Qos配合，特定的数据包限制流量进入网络。配合，特定的数据包限制流量进入网络。问题问题1：如何描述：如何描述“特定特定”？问题问题2：如何与：如何与Qos配合？配合？问题问题1：“特定特定”？特定：用户通过规则（特定：用户通过规则（rule）来定义自己的需求，）来定义自己的需求，Rule包含的信息可以包包含的信息可以包括源括源MAC、目的、目的MAC、源、源IP、目的、目的IP、IP协议号、协议号、tcp端口等条件的有端口等条件的有效组合，效组合，我们当前的规则分为我们当前的规则分为3大类：

11、大类：1、MAC规则规则2、IP规则规则3、MAC-IP规则规则注意：过滤功能若使能，则每个端口都还有一个规则：注意：过滤功能若使能，则每个端口都还有一个规则：1、默认规则、默认规则1、MAC规则规则1、MAC规则：包含源/目的MAC地址，帧类型，802.1Q的tag（cos和vlanid），上层报文类型。命令举例：nodeny|permitany-source-mac|host-source-mac|any-destination-mac|host-destination-mac|tagged-eth2cosvlanIdethertype功能：创建一条匹配tagged以太网2帧类型的MAC访

12、问规则(rule)；no操作为删除此命名扩展MAC访问规则（rule）MAC规则举例规则举例用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3的数据报文发出。配置步骤：1、创建相应的MACACL2、配置过滤默认动作（默认动作：没有定义规则的报文动作）3、绑定ACL到端口配置举例如下：Switch(Config)#access-list 1100deny00-12-11-23-00-0000-00-00-00-ff-ffanyuntagged-802.3Switch(Config)#access-list 1100 deny 00

13、-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-2、IP规则规则包含源/目的IP地址，协议类型（IP，TCP/UDP（源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence和tos（服务类型

14、）。命令举例：nodeny|permitudp|any-source|host-sourcesPort|any-destination|host-destinationdPortprecedencetos功能：创建一条udp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。IP规则举例规则举例用用户户有有如如下下配配置置需需求求：交交换换机机的的10端端口口连连接接10.0.0.0/24网网段段，管管理理员员不不希希望望用用户户使使用用ftp，也也不不允允许许外外网网ping此网段的任何一台主机。此网段的任何一台主机。配置步骤：配置步骤：1创建相应的创

15、建相应的IPACL2配置过滤默认动作（默认动作：没有定义规则的报文动作）配置过滤默认动作（默认动作：没有定义规则的报文动作）3绑定绑定ACL到端口到端口配置举例如下：配置举例如下：Switch(Config)#access-list110denytcp10.0.0.00.0.0.255any-destinationd-port21Switch(Config)#access-list120denyicmpany-source10.0.0.00.0.0.255Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitc

16、h(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-3、MAC-IP规则规则包含源包含源/目的目的MAC地址，源地址，源/目的目的IP地址，协议类型（地址，协议类型（IP，TCP/UDP（源（源/目的目的tcp/udp端口号），端口号），ICMP（icmp包类型），包类型），Igmp（igmp包类型），和其它任意协议类型，包类型），和其它任意协议类型，precedence和和tos（服务类型）。（服务类型）

17、。命令举例：deny|permitany-source-mac|host-source-mac|any-destination-mac|host-destination-mac|udp|any-source|host-sources-port|any-destination|host-destinationd-portprecedencetos功能：创建一条功能：创建一条tcp命名扩展命名扩展MAC-MAC-IP访问规则（访问规则（rule）；本命令的）；本命令的no操作为删操作为删除此命名扩展除此命名扩展IP访问规则（访问规则（rule）。）。MAC-IP规则举例规则举例用用户户有有如如下下

18、配配置置需需求求：交交换换机机的的10端端口口连连接接的的网网段段的的MAC地地址址是是00-12-11-23-XX-XX，并并且且IP为为10.0.0.0/24网网段，管理员不希望用户使用段，管理员不希望用户使用ftp，也不允许外网，也不允许外网ping此网段的任何一台主机。此网段的任何一台主机。配置步骤：1、创建相应的创建相应的MAC-IP MAC-IP ACL2、配置过滤默认动作（默认动作：没有定义规则的报文动作）配置过滤默认动作（默认动作：没有定义规则的报文动作）3、绑定绑定ACL到端口到端口配置举例如下：Switch(Config)#access-list 3110 deny 00-

19、12-11-23-00-00 00-00-00-00-FF-FF any tcp 10.0.0.0 0.0.0.255 any-destinationd-port21Switch(Config)#access-list 3120 deny any 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.00.0.0.255Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Swit

20、ch(Config-Ethernet0/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet0/0/10)#mac-ipaccess-默认规则默认规则默认规则：匹配所有的默认规则：匹配所有的IP报文，但是优先级最低，所以当数据包报文，但是优先级最低，所以当数据包同时匹配用户规则和默认规则时，用户规则起作用。同时匹配用户规则和默认规则时，用户规则起作用。默认动作：默认动作：permit或者或者deny，二者必选其一，二者必选其一配置举例：配置举例：Switch(Config)#firewalldefaultpermit（默认规则（默认规则per

21、mit）Switch(Config)#firewalldefaultdeny（默认规则（默认规则deny）问题问题2:如何与如何与Qos配合配合第一步：定义第一步：定义“特定特定”的报文，即是定义报文通过规则（的报文，即是定义报文通过规则（rule），），规则的分类如问题规则的分类如问题1所描述。所描述。第二步：第二步：Qos中的定义流量分类时选用该中的定义流量分类时选用该ACL规则。规则。第三步：第三步：Qos中定义该流量分类的策略（流量大小，优先级等）。中定义该流量分类的策略（流量大小，优先级等）。第四步：在某个接口上使能该策略，第四步：在某个接口上使能该策略，Qos功能生效功能生效Qos

22、方案与方案与ACL的关系的关系Classification（分类）Policing（监管）Mark（重写）Queueing（整形）和Scheduling（排程）ACL的应用端口信任 dscp/ip-precedence/cos/三、三、ACL的配置步骤的配置步骤1.配置配置access-list(定义所需要的规则定义所需要的规则)2.配置包过滤功能配置包过滤功能将将access-list绑定到特定端口的特定方向；绑定到特定端口的特定方向；或者，将或者，将access-list关联到相应关联到相应QosQos流量分类中。流量分类中。思考思考1.1.AclAcl应用在交换机的端口还是应用在交换机的端口还是vlanvlan？2.2.应用入方向还是出方向？还是都可以？应用入方向还是出方向？还是都可以？3.3.是否影响交换机性能？是否影响交换机性能？4.4.能否实现单向访问？能否实现单向访问？29内部资料，未经授权严禁外传内部资料，未经授权严禁外传神神 州州 数数 码码 客客 服服 中中 心心学以致用，让网络应用普遍成功！学以致用，让网络应用普遍成功！学以致用，让网络应用普遍成功！学以致用，让网络应用普遍成功！结束！结束！