層交換機(jī)訪問(wèn)控制列表ACL的配置

《層交換機(jī)訪問(wèn)控制列表ACL的配置》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、三層交換機(jī)訪問(wèn)列表ACL的配置ACL是交換機(jī)實(shí)現(xiàn)的一種數(shù)據(jù)包過(guò)濾機(jī)制，通過(guò)允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。ACL是一個(gè)有序的語(yǔ)句集，每一條語(yǔ)句對(duì)應(yīng)一條特定的規(guī)則(rule)。每條rule包括了過(guò)濾信息及匹配此rule時(shí)應(yīng)采取的動(dòng)作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號(hào)、tcp端口等條件的有效組合。根據(jù)不同的標(biāo)準(zhǔn)，ACL可以有如下分類：根據(jù)過(guò)濾信息：ipaccess-list（三層以上信息），macaccess-list（二層信息），mac-ipaccess-lis

2、t（二層以上信息）。根據(jù)配置的復(fù)雜程度：標(biāo)準(zhǔn)(standard)和擴(kuò)展(extended)，擴(kuò)展方式可以指定更加細(xì)致過(guò)濾信息。根據(jù)命名方式：數(shù)字(numbered)和命名(named)IPACL（1）配置數(shù)字標(biāo)準(zhǔn)IP訪問(wèn)列表（2）配置數(shù)字?jǐn)U展IP訪問(wèn)列表（3）配置命名標(biāo)準(zhǔn)IP訪問(wèn)列表（4）配置命名擴(kuò)展IP訪問(wèn)列表MACACL（1）配置數(shù)字標(biāo)準(zhǔn)MAC訪問(wèn)列表（2）配置數(shù)字?jǐn)U展MAC訪問(wèn)列表（3）配置命名擴(kuò)展MAC訪問(wèn)列表MAC-IP（1）配置數(shù)字?jǐn)U展MAC-IP訪問(wèn)列表（2）配置命名擴(kuò)展MAC-IP訪問(wèn)列表IP訪問(wèn)列表類型命名標(biāo)準(zhǔn)IP訪問(wèn)列表命名擴(kuò)展IP

3、訪問(wèn)列表數(shù)字標(biāo)準(zhǔn)IP訪問(wèn)列表數(shù)字?jǐn)U展IP訪問(wèn)列表基于時(shí)間的訪問(wèn)列表配置命名標(biāo)準(zhǔn)IP訪問(wèn)列表的步驟創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP訪問(wèn)列表指定多條permit或deny規(guī)則開啟交換機(jī)的包過(guò)濾功能，并設(shè)置其默認(rèn)動(dòng)作將訪問(wèn)列表應(yīng)用到指定端口創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP訪問(wèn)列表命令：ipaccess-liststandard說(shuō)明：name為訪問(wèn)列表的名字，字符串長(zhǎng)度為1—16個(gè)字符，第一個(gè)字符不能為數(shù)字。舉例：創(chuàng)建一個(gè)名為test的標(biāo)準(zhǔn)IP訪問(wèn)列表ipaccess-liststandardtest指定多條permit或deny規(guī)則命令：deny

4、permit{

5、Addr>}

6、any-source

7、{host-source}說(shuō)明：sIpAddr為源IP地址，sMask為源IP的反掩碼。舉例：允許源地址為192.168.10.0/24的數(shù)據(jù)包通過(guò)，拒絕源地址為192.168.20.1的數(shù)據(jù)包通過(guò)。Permit192.168.10.00.0.0.255Denyhost-source192.168.20.1開啟交換機(jī)的包過(guò)濾功能相關(guān)命令：Firewallenable作用：開啟交換機(jī)的包過(guò)濾功能（即防火墻功能）Firewalldisable作用：關(guān)閉交換機(jī)的包過(guò)濾功能說(shuō)明在允許和禁止防火

8、墻時(shí)，都可以設(shè)置訪問(wèn)規(guī)則。但只有在防火墻起作用時(shí)才可以將規(guī)則應(yīng)用至特定端口的特定方向上；使防火墻不起作用后將刪除端口上綁定的所有ACL。設(shè)置包過(guò)濾的默認(rèn)動(dòng)作相關(guān)命令：Firewalldefaultpermit作用：設(shè)置其默認(rèn)動(dòng)作為允許Firewalldefaultdeny作用：設(shè)置其默認(rèn)動(dòng)作為拒絕說(shuō)明此命令只影響端口入口方向的IP包，其余情況下數(shù)據(jù)包均可通過(guò)交換機(jī)。將訪問(wèn)列表應(yīng)用到指定端口命令：InterfaceIpaccess-groupin

9、out作用：在端口的某個(gè)方向上應(yīng)用一條access

10、-list說(shuō)明一個(gè)端口可以綁定一條入口規(guī)則和一條出口規(guī)則；ACL綁定到出口時(shí)只能包含deny規(guī)則；如果是堆疊交換機(jī)，則只能在入口綁定ACL，不能在出口綁定ACL?？偨Y(jié)：對(duì)ACL中的表項(xiàng)的檢查是自上而下的，只要匹配一條表項(xiàng)，對(duì)此ACL的檢查就馬上結(jié)束。端口特定方向上沒有綁定ACL或沒有任何ACL表項(xiàng)匹配時(shí)，才會(huì)使用默認(rèn)規(guī)則。每個(gè)端口入口和出口可以各綁定一條IPACL。當(dāng)一條ACL被綁定到端口出口方向時(shí)，只能包含deny表項(xiàng)。可以配置ACL拒絕某些ICMP報(bào)文通過(guò)以防止“沖擊波”等病毒攻擊。對(duì)于堆疊交換機(jī)，則只能在入口綁定ACL，不能在出口綁定ACL。標(biāo)準(zhǔn)

11、訪問(wèn)列表應(yīng)用舉例要求：PC1(192.168.10.1)不能訪問(wèn)服務(wù)器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以訪問(wèn)。PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#denyhost-source192.168.10.1#exit#inte0/0/23#ipaccess-grouppc1toserve

12、r1outSwitch(config)#ipaccess-liststandardpc1tos