文档库 最新最全的文档下载
当前位置:文档库 › 自反ACL和基于时间的ACL配置实例详解

自反ACL和基于时间的ACL配置实例详解

自反ACL和基于时间的ACL配置实例详解
自反ACL和基于时间的ACL配置实例详解

自反ACL和基于时间的ACL的应用

xiaojiwen 一、拓扑图如下:

二、在实施ACL之前,R1、R2、R3、R4配置如下:

Router(config)#hostname R1

R1(config)#int e1/0

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#int g3/0

R1(config-if)#ip address 192.168.2.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#int f2/0

R1(config-if)#ip address 200.200.200.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)# router rip

R1(config-router)#version 2

R1(config-router)#no auto-sumary

R1(config-router)#net 192.168.1.0

R1(config-router)#net 192.168.2.0

R1(config-router)#net 200.200.200.0

R1(config-router)#end

R1#

Router(config)#hostname R2

R2(config)#int e1/0

R3(config-if)#ip address 192.168.1.2 255.255.255.0 R2(config-if)#no shutdown

R2(config-if)#int loopback0

R2(config-if)#ip address 2.2.2.2 255.255.255.0

R2(config-if)#exit

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-sumary

R2(config-router)#net 192.168.1.0

R2(config-router)#net 2.0.0.0

R2(config-router)#exit

R2(config)#enable password 123

R2(config)#line vty 0 4

R2(config-line)#password 123

R2(config-line)#login

R2(config-line)#end

R2#

对R3的配置如下:

Router(config)#hostname R3

R3(config)#int g1/0

R3(config-if)#ip address 192.168.2.3 255.255.255.0 R3(config-if)#no shutdown

R3(config)#int loopback0

R3(config-if)#ip address 3.3.3.3 255.255.255.0

R3(config-if)# router rip

R3(config-router)#version 2

R3(config-router)#no auto-sumary

R3(config-router)#net 192.168.1.0

R3(config-router)#net 3.0.0.0

R3(config-router)#exit

R3(config)#enable password 123

R3(config)#line vty 0 4

R3(config-line)#password 123

R3(config-line)#login

R3(config-line)#end

R3#

Router(config)#hostname R4

R4(config)#int f1/0

R4(config-if)#ip address 200.200.200.4 255.255.255.0

R4(config-if)#no shutdown

R4(config)#int loopback0

R4(config-if)#ip address 4.4.4.4 255.255.255.0

R4(config-if)# router rip

R4(config-router)#version 2

R4(config-router)#no auto-sumary

R4(config-router)#net 200.200.200.0

R4(config-router)#net 4.0.0.0

R4(config-router)#exit

R4(config)#enable password 123

R4(config)#line vty 0 4

R4(config-line)#password 123

R4(config-line)#login

R4(config-line)#end

R4#

检查网络的可达性:

R2#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

R 200.200.200.0/24 [120/1] via 192.168.1.1, 00:00:12, Ethernet1/0

2.0.0.0/24 is subnetted, 1 subnets

C 2.2.2.0 is directly connected, Loopback0

3.0.0.0/24 is subnetted, 1 subnets

R 3.3.3.0 [120/2] via 192.168.1.1, 00:00:12, Ethernet1/0

4.0.0.0/24 is subnetted, 1 subnets

R 4.4.4.0 [120/2] via 192.168.1.1, 00:00:12, Ethernet1/0

C 192.168.1.0/24 is directly connected, Ethernet1/0

R 192.168.2.0/24 [120/1] via 192.168.1.1, 00:00:12, Ethernet1/0

R3#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.2.1 to network 0.0.0.0

R 200.200.200.0/24 [120/1] via 192.168.2.1, 00:00:22, GigabitEthernet1/0

2.0.0.0/24 is subnetted, 1 subnets

R 2.2.2.0 [120/2] via 192.168.2.1, 00:00:22, GigabitEthernet1/0

3.0.0.0/24 is subnetted, 1 subnets

C 3.3.3.0 is directly connected, Loopback0

4.0.0.0/24 is subnetted, 1 subnets

R 4.4.4.0 [120/2] via 192.168.2.1, 00:00:22, GigabitEthernet1/0

R 192.168.1.0/24 [120/1] via 192.168.2.1, 00:00:22, GigabitEthernet1/0

C 192.168.2.0/24 is directly connected, GigabitEthernet1/0

R4#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 200.200.200.1 to network 0.0.0.0

C 200.200.200.0/24 is directly connected, FastEthernet1/0

2.0.0.0/24 is subnetted, 1 subnets

R 2.2.2.0 [120/2] via 200.200.200.1, 00:00:16, FastEthernet1/0

3.0.0.0/24 is subnetted, 1 subnets

R 3.3.3.0 [120/2] via 200.200.200.1, 00:00:16, FastEthernet1/0

4.0.0.0/24 is subnetted, 1 subnets

C 4.4.4.0 is directly connected, Loopback0

R 192.168.1.0/24 [120/1] via 200.200.200.1, 00:00:16, FastEthernet1/0

R 192.168.2.0/24 [120/1] via 200.200.200.1, 00:00:16, FastEthernet1/0

路由表显示,所有网络彼此都是可达的。接下来用ping命令可进一步验证。另外,R2、R3、R4彼此都可以用telnet登录。

三、现在对R1进行配置,以实现:

1、子网192.168.1.0/24及192.168.2.0/24可以访问200.200.200.0/24和4.4.4.0/24,即从

192.168.1.0/24和192.168.2.0/24发起的TCP流量和ICMP流量不受任何影响,但反

方向的(即外部发起的以192.168.1.0/24和192.168.2.0/24为目的)的流量被R1拦

截。注意,RIP路由更新的流量不可拦截,否则会影响网络的可达性。

2、对于从外部进入R1接口f2/0的流量,如果目标地址是2.2.2.2,无论什么类型流量,

不加任何限制放行。

3、对于从外部进入R1接口f2/0的流量,如果目标地址是3.3.3.3,无论什么类型的流

量,在规定的时间内(每星期一至星期五8:00~17:00)放行,其余时间拦截。

分析:

对于第1条要求,以扩展ACL放行RIP更新,以自反ACL实现地址块192.168.0.0/16对外部的单向TCP访问和ICMP访问。

对于第2条要求,用扩展ACL实现。

对于第3条要求,用基于时间的ACL实现。

注意:

自反ACL需要使用命名的扩展ACL,这里我们将三条要求综合起来考虑,对R1实施如下配置:

创建时间范围:

R1(config)#time-range WORKTIME //定义时间范围并取名为WORKTIME

R1(config-time-range)#periodic weekdays 8:00 to 17:00 //定义具体时间

R1(config-time-range)#exit

注:weekdays= Monday Tuesday Wednesday Thursday Friday

创建用于控制外出流量(含自反流量)的扩展命名ACL:

R1(config)#ip access-list extended REFLECT

R1(config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reflect TCP-TRAFFIC

//该条实现TCP自反访问R1(config-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any reflect ICMP-TRAFFIC

//该条实现ICMP自反访问R1(config-ext-nacl)# permit ip host 2.2.2.2 any

//该条放行2.2.2.2对外部的访问R1(config-ext-nacl)# permit ip host 3.3.3.3 any time-range WORKTIME

//对3.3.3.3的外出流量按指定时间放行

创建用于控制进入流量(含自反生效后的进入流量)的扩展命名ACL:

R1(config)#ip access-list extended IN-FILTER

R1(config-ext-nacl)#evaluate TCP-TRAFFIC //控制自反TCP流量

R1(config-ext-nacl)#evaluate ICMP-TRAFFIC //控制自反ICMP流量

R1(config-ext-nacl)#permit udp any any eq rip //无条件放行RIP更新

R1(config-ext-nacl)#permit ip any host 2.2.2.2 //无条件放行到2.2.2.2的流量

R1(config-ext-nacl)#permit ip any host 3.3.3.3 time-range WORKTIME

//在规定时间放行到3.3.3.3的流量

最后将两个方向的ACL分别应用于R1的f2/0接口:

R1(config)#interface FastEthernet2/0

R1(config-if)#ip access-group IN-FILTER in //入方向应用规则

R1(config-if)#ip access-group REFLECT out //出方向应用规则

四、测试与观察

1、用R2和R3来访问200.200.200.2和4.4.4.4,无论是telnet还是ping都成功,但反

过来使用R4访问192.168.1.2和192.168.2.3,无论是telnet还是ping都失败。

2、使用R4访问2.2.2.2,无论是telnet还是ping都不受任何限制。

3、使用R4访问3.3.3.3,无论是telnet还是ping都,在WORKTIME所定义的时间内

都成功,其余时间都无法访问。测试时,使用R1#clock set 8:00:00 26 march 2012

将时间设置为2012年3月26日上午8时,当天是星期一,时间合法,可以访问,

再改一个非法时间,比如R1#clock set 17:00:01 26 march 2012,分别测试,可观察

到两种不同的结果。查看路由器时钟可以使用R1#show clock命令。

五、总结

本实例中,将自反ACL语句、基于时间的ACL语句以及普通的扩展ACL语句结合起来构造出两个方向的命名扩展ACL现实网络的控制管理功能,通过对本实例的分析和研究,可以了解cisco自反ACL和基于时间的ACL的工作原理。自反ACL可以理解为按流量匹配(是否为自反流量),按发起方向控制(如果是自反流量,保证单向访问),自反ACL只是一个组成ACL规则的一个语句,它在整个规则中和其他语句配合使用时,不影响其他语句的作用,整个扩展ACL规则,维持原来的语法和执行机制。不能把自反ACL和基于时间的ACL理解为不同于扩展ACL的另一类ACL,它们只是对扩展ACL功能的增强,是扩展ACL中起特殊作用的语句。

要点:

?用命名的ACL,不能用编号

?端口要绑定IN和OUT两个方向上的ACL

?自反ACL中触发的只有允许条目

访问控制列表原理及配置技巧(acl)

1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。

3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表

ACL详解

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应

ACL配置实验

ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验内容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

交换机 ACL原理及配置详解

Cisco ACL原理及配置详解 作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞, 2010-04-22 09:49 标准访问控制列表实例二 配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而 172.16.4.0/24中的其他计算机可以正常访问。 路由器配置命令: access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过 access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯 int e 1 进入E1端口 ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。 总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。

扩展访问控制列表: 上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。 扩展访问控制列表的格式 刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL 号为100到199。 扩展访问控制列表的格式: 扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下: access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。 小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 扩展访问控制列表实例

cisco ACL配置详解

cisco ACL配置详解 ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:

三层交换机配置ACL(访问控制列表)

三层交换机配置ACL(访问控制列表) 说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍: 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 VLAN PC2 VLAN PC3 VLAN PC4 VLAN F0/1 (开启路由功能) 路由器上配置 F0/0 PC5 F0/1 试验步骤: 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run !

interface FastEthernet0/1 switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router(config)#router rip Router(config)#network Router(config)# network 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network Switch(config-router)#network Switch(config-router)#network Switch(config-router)#network

防火墙基本原理及ACL基本知识

防火墙功能: 内外网络隔离: a. 截取IP包,根据安全策略控制其进/出 b. 双向网络地址转换(NAT) c. 基于一次性口令对移动访问进行身份识别和控制 d. IP MAC捆绑,防止IP地址的滥用 安全记录: a. 通信事件记录 b. 操作事件记录 c. 违规事件记录 d. 异常情况告警 安全公理/定理/推理: 公理:所有的程序都有缺陷(墨菲定理) 大程序定理:大程序的缺陷甚至比它包含的内容还多 推理:一个安全相关程序有安全性缺陷 定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要 推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要 定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能的小推论:防火墙基本法则:防火墙必须配置尽可能的小,才能降低风险。 ACL访问控制列表: 应用在路由器接口的指令列表;指定哪些数据包可以接受,哪些需要拒绝 ACL用途: a. 限制网路流量,提高网络性能 b. 提供对通信流量的控制手段 c. 提供网络访问的基本安全手段 d. 在路由器(交换机)接口处,决定哪种类型的通信浏览被转发,哪种被阻塞ACL分类: 标准IP ACL根据报文的源地址测试

扩展IP ACL可以测试IP报文的源,目的地址,协议,端口号 标准ACL: ACL配置: Router(config)# access-list access-list-number {permit | deny} {test conditions} Router(config)# {protocol } access-group access-list-number {in | out } 建议设置ACL的位置: 在靠近源地址的网络接口上设置扩展ACL 在靠近目的地址的安络接口上设置标准ACL 防火墙的分类: 1. 包过滤防火墙 基本思想 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 一般配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址,IP协议域,源和目标端口号 过滤器一般建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。 优点: a. 实现简单 b. 对用户透明 c. 效率高 缺点: a. 正确制定规则并不容易 b. 不可能引入认证机制 一般Router实现包过滤防火墙。 路由器的访问控制列表是网络安全保障的第一关卡。

Cisco ACL原理及配置详解+图例详解

Cisco ACL原理及配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 标准访问控制列表的格式 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。标准访问控制列表是最简单的ACL。 它的具体格式如下:access-list ACL号 permit|deny host ip地址

相关文档