1、 2ACL的应用的应用 ACL定义定义 ACL功能功能 ACL配置步骤配置步骤 ACL应用举例应用举例 ACL与其它厂家的对比与其它厂家的对比3ACL的定义的定义 ACL(Access Control Lists)是交换机实现的一种数据包过是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。可以对网络访问进行控制,有效保证网络的安全运行。4标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协议OutgoingPacketE0S0IncomingPacketAc
2、cess List ProcessesPermit?SourceACL的定义的定义5 标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协议扩展扩展检查目的地址检查目的地址允许或禁止特定的协议允许或禁止特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocolACL的定义的定义6 标准标准检查源地址检查源地址允许或禁止所有的协议允许或禁止所有的协议扩展扩展检查目的地址检查目的地址允许或禁止特定的协议允许或禁止特定的协议Inbound or Outbou
3、ndOutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocolACL的定义的定义7FDDI172.16.0.0172.17.0.0TokenRingInternet为什么使用访问控制列表?为什么使用访问控制列表?8Interface(s)DestinationPackets to interfacesin the access groupPacket Discard BucketYDenyDenyYMatchFirstTest?Permit列表的检测列表的检测-允许或禁止允许
4、或禁止9Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的检测列表的检测-允许或禁止允许或禁止10Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPerm
5、itMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit列表的检测列表的检测-允许或禁止允许或禁止11Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit Deny如果没有匹配如果没有匹配DenyDenyN列表的检测列表的检测-允许或禁止允许或禁止12Nu
6、mber Range/IdentifierAccess List TypeIP 1-99Standard标准标准 IP 列表列表(1 to 99)检查所有包的源地址检查所有包的源地址怎样定义访问控制列表?怎样定义访问控制列表?13Number Range/IdentifierAccess List TypeIP 1-99100-199StandardExtended标准标准 IP 列表列表(1 to 99)检查所有包的源地址检查所有包的源地址扩展扩展 IP 列表列表(100 to 199)能够检查源地址和目的地址,特定的能够检查源地址和目的地址,特定的 TCP/IP 协议协议,,和目的端口,和
7、目的端口怎样定义访问控制列表?怎样定义访问控制列表?14Number Range/IdentifierIP 1-99100-199,1300-1999,2000-2699Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)StandardExtendedSAP filtersNamedStandardExtendedNamedAccess List TypeIPX怎样定义访问控制列表?怎样定义访问控制列表?15SourceAddressSegment(for example,T
8、CP header)DataPacket(IP header)Frame Header(for example,HDLC)DenyPermit Useaccess list statements1-99 标准列表检查过程标准列表检查过程16DestinationAddressSourceAddressProtocolPortNumberSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)Useaccess list statements1-99 or 100-199 to test
9、thepacket DenyPermit扩展列表检查过程扩展列表检查过程17二、二、ACL功能功能1、拒绝特定的数据包进、拒绝特定的数据包进/出端口。出端口。2、允许特定的数据包进端口。、允许特定的数据包进端口。3、和和Qos配合,特定的数据包限制流量进入网络。配合,特定的数据包限制流量进入网络。问题问题1:如何描述:如何描述“特定特定”?问题问题2:如何与:如何与Qos配合?配合?18问题问题1:“特定特定”?特定:用户通过规则(特定:用户通过规则(rule)来定义自己的需求,)来定义自己的需求,Rule包含的信息可以包含的信息可以包括源包括源MAC、目的、目的MAC、源、源IP、目的、目的
10、IP、IP协议号、协议号、tcp端口等条件的端口等条件的有效组合,有效组合,我们当前的规则分为我们当前的规则分为3大类:大类:1、MAC 规则规则 2、IP 规则规则 3、MAC-IP 规则规则 注意:过滤功能若使能,则每个端口都还有一个规则:注意:过滤功能若使能,则每个端口都还有一个规则:1、默认规则、默认规则191、MAC 规则规则1、MAC 规则:包含源/目的MAC地址,帧类型,802.1Q 的tag(cos和vlan id),上层报文类型。命令举例:nodeny|permitany-source-mac|host-source-mac|any-destination-mac|host-
11、destination-mac|tagged-eth2 cos vlanId ethertype 功能:创建一条匹配tagged 以太网2帧类型的MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)20MAC 规则举例规则举例用户有如下配置需求:交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX,并且不允许802.3的数据报文发出。配置步骤:1、创建相应的MAC ACL2、配置过滤默认动作(默认动作:没有定义规则的报文动作)3、绑定ACL到端口配置举例如下:Switch(Config)#access-list 1100 deny 00-12-1
12、1-23-00-00 00-00-00-00-ff-ff any untagged-802.3Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3Switch(Config)#firewall enableSwitch(Config)#firewall default permitSwitch(Config)#interface ethernet 0/0/10Switch(Config-Ethernet0/0/10)#ip access-group 1100 in 21
13、2、IP规则规则包含源/目的IP地址,协议类型(IP,TCP/UDP(源/目的tcp/udp端口号),ICMP(icmp包类型),Igmp(igmp包类型),和其它任意协议类型,precedence 和tos(服务类型)。命令举例:no deny|permit udp|any-source|host-source sPort|any-destination|host-destination dPort precedence tos 功能:创建一条udp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。22IP规则举例规则举例用户有如下配置需求:交换机的
14、用户有如下配置需求:交换机的10端口连接端口连接10.0.0.0/24网段,管理员不希望用户使用网段,管理员不希望用户使用ftp,也不允许外网,也不允许外网ping此网段的任何一台主机。此网段的任何一台主机。配置步骤:配置步骤:1 创建相应的创建相应的IP ACL2 配置过滤默认动作(默认动作:没有定义规则的报文动作)配置过滤默认动作(默认动作:没有定义规则的报文动作)3 绑定绑定ACL到端口到端口配置举例如下:配置举例如下:Switch(Config)#access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21S
15、witch(Config)#access-list 120 deny icmp any-source 10.0.0.0 0.0.0.255Switch(Config)#firewall enableSwitch(Config)#firewall default permitSwitch(Config)#interface ethernet 0/0/10Switch(Config-Ethernet0/0/10)#ip access-group 110 inSwitch(Config-Ethernet0/0/10)#ip access-group 120 out 233、MAC-IP规则规则包含源
16、包含源/目的目的MAC地址,源地址,源/目的目的IP地址,协议类型(地址,协议类型(IP,TCP/UDP(源(源/目的目的tcp/udp端口号),端口号),ICMP(icmp包类型),包类型),Igmp(igmp包类型),和其它任意协议类型,包类型),和其它任意协议类型,precedence 和和tos(服(服务类型)。务类型)。命令举例:deny|permitany-source-mac|host-source-mac|any-destination-mac|host-destination-mac|udp|any-source|host-sources-port|any-destinati
17、on|host-destination d-port precedence tos 功能:创建一条功能:创建一条tcp命名扩展命名扩展MAC-MAC-IP访问规则(访问规则(rule);本命令的);本命令的no操作为删操作为删除此命名扩展除此命名扩展IP访问规则(访问规则(rule)。)。24MAC-IP规则举例规则举例用户有如下配置需求:交换机的用户有如下配置需求:交换机的10端口连接的网段的端口连接的网段的MAC地址是地址是00-12-11-23-XX-XX,并且,并且IP为为10.0.0.0/24网网段,管理员不希望用户使用段,管理员不希望用户使用ftp,也不允许外网,也不允许外网pin
18、g此网段的任何一台主机。此网段的任何一台主机。配置步骤:1、创建相应的创建相应的MAC-IP MAC-IP ACL 2、配置过滤默认动作(默认动作:没有定义规则的报文动作)配置过滤默认动作(默认动作:没有定义规则的报文动作)3、绑定绑定ACL到端口到端口配置举例如下:Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp 10.0.0.0 0.0.0.255 any-destination d-port 21Switch(Config)#access-list 3120 deny any
19、00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.0 0.0.0.255Switch(Config)#firewall enableSwitch(Config)#firewall default permitSwitch(Config)#interface ethernet 0/0/10Switch(Config-Ethernet0/0/10)#mac-ip access-group 3110 inSwitch(Config-Ethernet0/0/10)#mac-ip access-group 3120 out 25默认规则
20、默认规则 默认规则:匹配所有的默认规则:匹配所有的IP报文,但是优先级最低,所以当数据包报文,但是优先级最低,所以当数据包同时匹配用户规则和默认规则时,用户规则起作用。同时匹配用户规则和默认规则时,用户规则起作用。默认动作:默认动作:permit或者或者deny,二者必选其一,二者必选其一 配置举例:配置举例:Switch(Config)#firewall default permit (默认规则(默认规则permit)Switch(Config)#firewall default deny (默认规则(默认规则deny)26问题问题2:如何如何与与Qos配合配合 第一步:定义第一步:定义“特
21、定特定”的报文,即是定义报文通过规则(的报文,即是定义报文通过规则(rule),),规则的分类如问题规则的分类如问题1所描述。所描述。第二步:第二步:Qos中的定义流量分类时选用该中的定义流量分类时选用该ACL规则。规则。第三步:第三步:Qos中定义该流量分类的策略(流量大小,优先级等)。中定义该流量分类的策略(流量大小,优先级等)。第四步:在某个接口上使能该策略,第四步:在某个接口上使能该策略,Qos功能生效功能生效27Qos方案与方案与ACL的关系的关系access_aaccess_baccess_dcore_Aaccess_ecore_Baccess_caccess_fClassific
22、ation(分类)Policing(监管)Mark(重写)Queueing(整形)和Scheduling(排程)ACL的应用端口信任 dscp/ip-precedence/cos/port28三、三、ACL的配置步骤的配置步骤1.配置配置access-list(定义所需要的规则定义所需要的规则)2.配置包过滤功能配置包过滤功能将将access-list绑定到特定端口的特定方向;绑定到特定端口的特定方向;或者,将或者,将access-list关联到相应关联到相应QosQos流量分类中。流量分类中。29思考思考1.1.AclAcl应用在交换机的端口还是应用在交换机的端口还是vlanvlan?2.2.应用入方向还是出方向?还是都可以?应用入方向还是出方向?还是都可以?3.3.是否影响交换机性能?是否影响交换机性能?4.4.能否实现单向访问?能否实现单向访问?
