高级交换技术
This presentation is the property of its rightful owner.
Sponsored Links
1 / 25

高级交换技术 PowerPoint PPT Presentation


  • 119 Views
  • Uploaded on
  • Presentation posted in: General

高级交换技术. √. ISP. 什么是访问列表. Access-list :访问列表或访问控制列表,简称 ACL ACL 就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。. 172.16.0.0. Internet. 172.17.0.0. 为什么要使用访问列表. 管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤. 访问列表的组成. 定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表的分类: 1 、标准访问控制列表 2 、扩展访问控制列表

Download Presentation

高级交换技术

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


3757777

高级交换技术


3757777

ISP

什么是访问列表

  • Access-list:访问列表或访问控制列表,简称ACL

  • ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。


3757777

172.16.0.0

Internet

172.17.0.0

为什么要使用访问列表

  • 管理网络中逐步增长的 IP 数据

  • 当数据通过路由器时进行过滤


3757777

访问列表的组成

  • 定义访问列表的步骤

    • 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)

    • 第二步,将规则应用在路由器(或交换机)的接口上

  • 访问控制列表的分类:

    • 1、标准访问控制列表

    • 2、扩展访问控制列表

  • 访问控制列表规则元素

    • 源IP、目的IP、源端口、目的端口、协议


3757777

访问列表规则的应用

  • 路由器应用访问列表对流经接口的数据包进行控制

    • 1.入栈应用(in)

    • 2.出栈应用(out)


3757777

访问列表的入栈应用

查找路由表

进行选路转发

N

是否应用访问列表?

Y

Y

是否允许?

N


3757777

访问列表的出栈应用

选择出口S0

S0

Y

查看访问列表的陈述

路由表中是否存在记录?

S0

N

是否应用访问列表?

N

Y

是否允许?

Y

N


3757777

ACL的基本准则

  • 一切未被允许的就是禁止的。

    • 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。

  • 按规则链来进行匹配

    • 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配

  • 从头到尾,至顶向下的匹配方式

  • 匹配成功马上停止

  • 立刻使用该规则的“允许、拒绝……”


3757777

一个访问列表多个测试条件

是否匹配测试条件1

?

Y

Y

N

拒绝

允许

是否匹配测试条件2

?

Y

Y

拒绝

允许

N

是否匹配最后一个测试条件?

Y

Y

拒绝

允许

N

被系统隐含拒绝


3757777

访问列表规则的定义

  • 标准访问列表

    • 根据数据包源IP地址进行规则定义

  • 扩展访问列表

    • 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义


3757777

128

64

32

16

8

4

2

1

0

0

1

1

1

1

1

1

0

0

0

0

1

1

1

1

1

1

1

1

1

0

1

0

1

1

1

1

1

1

1

1

反掩码(通配符)

  • 0表示检查相应的地址比特,1表示不检查相应的地址比特

0

0

0

0

0

0

0

0


3757777

IP标准访问列表的配置

access-list access-list-number {permit|deny} source [mask]

  • 为访问列表设置参数

  • IP 标准访问列表编号 1 到 99

  • 缺省的通配符掩码 = 0.0.0.0

  • “no access-list access-list-number”命令删除访问列表

ip access-group access-list-number { in | out }

  • 在端口上应用访问列表

  • 指明是进方向还是出方向

  • 缺省 = 出方向

  • “no ip access-group access-list-number”命令在端口上删除访问列表


3757777

IP标准访问列表配置实例

172.17.0.0

172.16.3.0

172.16.4.0

S0

F0

F1

access-list 1 permit 172.16.3.00.0.0.255

(access-list 1 deny 0.0.0.0 255.255.255.255)

interface serial 0

ip access-group 1 out


3757777

IP标准访问列表配置实例

172.17.0.0

172.16.3.0

172.16.4.0

S0

F0

F1

access-list 1 deny 172.16.3.13 0.0.0.0

access-list 1 permit 0.0.0.0 255.255.255.255

(implicit deny all)

(access-list 1 deny 0.0.0.0 255.255.255.255)

interface f 1

ip access-group 1 out


3757777

IP扩展访问列表的配置

  • 定义扩展的ACL

    • 编号的扩展ACL

      Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]

  • 2.应用ACL到接口

    • Router(config-if)#ip access-group <100-199> |{name}

    • { in | out }


3757777

IP扩展访问列表配置实例

  • access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 21

  • access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 20

  • access-list 101 permit ip any any

  • (implicit deny all)

  • (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)

  • interface f1

  • ip access-group 101 out

172.17.0.0

172.16.3.0

172.16.4.0

S0

F0

F1


3757777

访问列表的验证

  • 显示全部的访问列表

    • Router#show access-lists

  • 显示指定的访问列表

    • Router#show access-lists <1-199>

  • 显示接口的访问列表应用

    • Router#show ip interface <接口名称> <接口编号>


3757777

命名访问列表

  • 命名的标准访问列表

    • ip access-list standard { name}

    • deny{source source-wildcard|hostsource|any} or permit {source source-wildcard|hostsource|any}

  • 应用ACL到接口

    • Router(config-if)#ip access-group {name} { in | out }


3757777

命名访问列表

  • 命名的扩展ACL

    ip access-list extended { name}

    {deny|permit} protocol{sourcesource-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port]

  • 2.应用ACL到接口

    • Router(config-if)#ip access-group {name} {in | out }


Mac acl

基于MAC的ACL

  • 在网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。


Mac acl1

配置MAC ACL

  • mac access-list extended { name }

  • {permit | deny } {any | host source-mac-address} {any | host destination-mac-address}[ethernet-type] [time-range time-range-name]

  • mac access-group name in|out


3757777

专家ACL

  • 某公司的一个简单局域网中,通过使用1台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个VLAN中。网络中有3台主机和一台财务服务器(AccountingServer)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器上的财务服务(TCP 5555),而其他服务不允许访问。


3757777

专家ACL

  • 专家ACL可以根据配置的规则对网络中的数据进行过滤。

  • 专家ACL是考虑到实际网络的复杂需求,将ACL的检测元素扩展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和协议,从而实现对数据的更精确的过滤,满足网络的复杂需求。

  • 当应用了专家ACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施(允许通过或拒绝通过),从而达到访问控制的目的,提高网络安全性。


3757777

配置专家ACL

  • Switch(config)#expert access-list extended deny_to_accsrv

  • Switch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d

  • Switch(config-exp-nacl)#permit any any any any

  • Switch(config)#interface fastEthernet 0/2

  • Switch(config-if)#expert access-group deny_to_accsrv in

  • Switch(config)#interface fastEthernet 0/3

  • Switch(config-if)#expert access-group deny_to_accsrv in

  • Switch(config-if)#exit


3757777

配置专家ACL

  • 配置针对财务部主机的专家ACL。

  • Switch(config)#expert access-list extended allow_to_accsrv5555

  • Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555

  • Switch(config)#interface fastEthernet 0/1

  • Switch(config-if)#expert access-group allow_to_accsrv5555 in

  • Switch(config-if)#end


  • Login