資源描述:
《交換機的配置練習》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫����。
1、CISCO交換機的ACL配置練習在通常的網(wǎng)絡管理中�����,我們都希望允許一些連接的訪問,而禁止另一些連接的訪問���,但許多安全工具缺乏網(wǎng)絡管理所需的基本通信流量過濾的靈活性和特定的控制手段��。三層交換機功能強大���,有多種管理網(wǎng)絡的手段,它有內(nèi)置的ACL(訪問控制列表)���,因此我們可利用ACL(訪問控制列表)控制Internet的通信流量�。以下是我們利用聯(lián)想的三層交換機3508GF來實現(xiàn)ACL功能的過程��。利用標準ACL控制網(wǎng)絡訪問當我們要想阻止來自某一網(wǎng)絡的所有通信流量��,或者允許來自某一特定網(wǎng)絡的所有通信流量��,或者想要拒絕某一協(xié)議簇的所有通信流量時����,可以使用標準訪問控制列表來實現(xiàn)這一目標。標準訪問控制列
2��、表檢查數(shù)據(jù)包的源地址����,從而允許或拒絕基于網(wǎng)絡�、子網(wǎng)或主機IP地址的所有通信流量通過交換機的出口�����。標準ACL的配置語句為:Switch#access-listaccess-list-number(1~99){permit
3�、deny}{anyA
4��、source[source-wildcard-mask]}{any
5�����、destination[destination-mask]}例1:允許192.168.3.0網(wǎng)絡上的主機進行訪問:Switch#access-list1permit192.168.3.00.0.0.255例2:禁止172.10.0.0網(wǎng)絡上的主機訪問:Switch#access-l
6��、ist2deny172.10.0.00.0.255.255例3:允許所有IP的訪問:Switch#access-list1permit0.0.0.0255.255.255.255例4:禁止192.168.1.33主機的通信:Switch#access-list3deny192.168.1.330.0.0.0上面的0.0.0.255和0.0.255.255等為32位的反掩碼��,0表示“檢查相應的位”�,1表示“不檢查相應的位”。如表示33.0.0.0這個網(wǎng)段���,使用通配符掩碼應為0.255.255.255��。利用擴展ACL控制網(wǎng)絡訪問擴展訪問控制列表既檢查數(shù)據(jù)包的源地址�����,也檢查數(shù)據(jù)包的目的地址�����,
7���、還檢查數(shù)據(jù)包的特定協(xié)議類型�、端口號等����。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協(xié)議通信流量通過����,而拒絕使用其它協(xié)議的流量通過,可靈活多變的設計ACL的測試條件�����。擴展ACL的完全命令格式如下:Switch#access-listaccess-list-number(100~199){permit
8�����、deny}protocol{any
9、source[source-mask]}{any
10��、destination[destination-mask]}[port-number]例1:拒絕交換機所連的子網(wǎng)192.168.3.0ping通另一子網(wǎng)192.168.4.0:Swi
11�、tch#access-list100denyicmp192.168.3.00.0.0.255192.168.4.00.0.0.255例2:阻止子網(wǎng)192.168.5.0訪問Internet(www服務)而允許其它子網(wǎng)訪問:Switch#access-list101denytcp192.168.5.00.0.0.255anywww或?qū)憺椋篠witch#access-list101denytcp192.168.5.00.0.0.255any80例3:允許從192.168.6.0通過交換機發(fā)送E-mail,而拒絕所有其它來源的通信:Switch#access-list101permittcp
12����、192.168.6.00.0.0.255anysmtp基于端口和VLAN的ACL訪問控制標準訪問控制列表和擴展訪問控制列表的訪問控制規(guī)則都是基于交換機的,如果僅對交換機的某一端口進行控制��,則可把這個端口加入到上述規(guī)則中��。配置語句為:Switch#acess-listport例:對交換機的端口4���,拒絕來自192.168.3.0網(wǎng)段上的信息,配置如下:Switch#acess-list1deny192.168.3.00.0.0.255Switch#acess-listport41//把端口4加入到規(guī)則1中��?��;赩LAN的訪問控制列表是基于VLAN設置簡單
13�、的訪問規(guī)則����,也設置流量控制���,來允許(permit)或拒絕(deny)交換機轉(zhuǎn)發(fā)一個VLAN的數(shù)據(jù)包。配置語句:Switch#acess-listvlan[deny
14���、permit]例:拒絕轉(zhuǎn)發(fā)vlan2中的數(shù)據(jù):Switch#access-listvlan2deny另外��,我們也可通過顯示命令來檢查已建立的訪問控制列表,即Switch#showaccess-list例:Switch#showaccess-list//顯示ACL列表
