1 / 25

高级交换技术

高级交换技术. √. ISP. 什么是访问列表. Access-list :访问列表或访问控制列表,简称 ACL ACL 就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。. 172.16.0.0. Internet. 172.17.0.0. 为什么要使用访问列表. 管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤. 访问列表的组成. 定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表的分类: 1 、标准访问控制列表 2 、扩展访问控制列表

stan
Download Presentation

高级交换技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 高级交换技术

  2. ISP 什么是访问列表 • Access-list:访问列表或访问控制列表,简称ACL • ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。

  3. 172.16.0.0 Internet 172.17.0.0 为什么要使用访问列表 • 管理网络中逐步增长的 IP 数据 • 当数据通过路由器时进行过滤

  4. 访问列表的组成 • 定义访问列表的步骤 • 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) • 第二步,将规则应用在路由器(或交换机)的接口上 • 访问控制列表的分类: • 1、标准访问控制列表 • 2、扩展访问控制列表 • 访问控制列表规则元素 • 源IP、目的IP、源端口、目的端口、协议

  5. 访问列表规则的应用 • 路由器应用访问列表对流经接口的数据包进行控制 • 1.入栈应用(in) • 2.出栈应用(out)

  6. 访问列表的入栈应用 查找路由表 进行选路转发 N 是否应用访问列表? Y Y 是否允许? N

  7. 访问列表的出栈应用 选择出口S0 S0 Y 查看访问列表的陈述 路由表中是否存在记录? S0 N 是否应用访问列表? N Y 是否允许? Y N

  8. ACL的基本准则 • 一切未被允许的就是禁止的。 • 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。 • 按规则链来进行匹配 • 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 • 从头到尾,至顶向下的匹配方式 • 匹配成功马上停止 • 立刻使用该规则的“允许、拒绝……”

  9. 一个访问列表多个测试条件 是否匹配测试条件1 ? Y Y N 拒绝 允许 是否匹配测试条件2 ? Y Y 拒绝 允许 N 是否匹配最后一个测试条件? Y Y 拒绝 允许 N 被系统隐含拒绝

  10. 访问列表规则的定义 • 标准访问列表 • 根据数据包源IP地址进行规则定义 • 扩展访问列表 • 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义

  11. 128 64 32 16 8 4 2 1 0 0 1 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 反掩码(通配符) • 0表示检查相应的地址比特,1表示不检查相应的地址比特 0 0 0 0 0 0 0 0

  12. IP标准访问列表的配置 access-list access-list-number {permit|deny} source [mask] • 为访问列表设置参数 • IP 标准访问列表编号 1 到 99 • 缺省的通配符掩码 = 0.0.0.0 • “no access-list access-list-number”命令删除访问列表 ip access-group access-list-number { in | out } • 在端口上应用访问列表 • 指明是进方向还是出方向 • 缺省 = 出方向 • “no ip access-group access-list-number”命令在端口上删除访问列表

  13. IP标准访问列表配置实例 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1 access-list 1 permit 172.16.3.00.0.0.255 (access-list 1 deny 0.0.0.0 255.255.255.255) interface serial 0 ip access-group 1 out

  14. IP标准访问列表配置实例 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1 access-list 1 deny 172.16.3.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface f 1 ip access-group 1 out

  15. IP扩展访问列表的配置 • 定义扩展的ACL • 编号的扩展ACL Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] • 2.应用ACL到接口 • Router(config-if)#ip access-group <100-199> |{name} • { in | out }

  16. IP扩展访问列表配置实例 • access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 21 • access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 20 • access-list 101 permit ip any any • (implicit deny all) • (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) • interface f1 • ip access-group 101 out 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1

  17. 访问列表的验证 • 显示全部的访问列表 • Router#show access-lists • 显示指定的访问列表 • Router#show access-lists <1-199> • 显示接口的访问列表应用 • Router#show ip interface <接口名称> <接口编号>

  18. 命名访问列表 • 命名的标准访问列表 • ip access-list standard { name} • deny{source source-wildcard|hostsource|any} or permit {source source-wildcard|hostsource|any} • 应用ACL到接口 • Router(config-if)#ip access-group {name} { in | out }

  19. 命名访问列表 • 命名的扩展ACL ip access-list extended { name} {deny|permit} protocol{sourcesource-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port] • 2.应用ACL到接口 • Router(config-if)#ip access-group {name} {in | out }

  20. 基于MAC的ACL • 在网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。

  21. 配置MAC ACL • mac access-list extended { name } • {permit | deny } {any | host source-mac-address} {any | host destination-mac-address}[ethernet-type] [time-range time-range-name] • mac access-group name in|out

  22. 专家ACL • 某公司的一个简单局域网中,通过使用1台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个VLAN中。网络中有3台主机和一台财务服务器(AccountingServer)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器上的财务服务(TCP 5555),而其他服务不允许访问。

  23. 专家ACL • 专家ACL可以根据配置的规则对网络中的数据进行过滤。 • 专家ACL是考虑到实际网络的复杂需求,将ACL的检测元素扩展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和协议,从而实现对数据的更精确的过滤,满足网络的复杂需求。 • 当应用了专家ACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施(允许通过或拒绝通过),从而达到访问控制的目的,提高网络安全性。

  24. 配置专家ACL • Switch(config)#expert access-list extended deny_to_accsrv • Switch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d • Switch(config-exp-nacl)#permit any any any any • Switch(config)#interface fastEthernet 0/2 • Switch(config-if)#expert access-group deny_to_accsrv in • Switch(config)#interface fastEthernet 0/3 • Switch(config-if)#expert access-group deny_to_accsrv in • Switch(config-if)#exit

  25. 配置专家ACL • 配置针对财务部主机的专家ACL。 • Switch(config)#expert access-list extended allow_to_accsrv5555 • Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555 • Switch(config)#interface fastEthernet 0/1 • Switch(config-if)#expert access-group allow_to_accsrv5555 in • Switch(config-if)#end

More Related