DCN-TS07ACL的应用.ppt

ACL应用 客户服务中心 2 ACL的应用 ACL定义ACL功能ACL配置步骤ACL应用举例ACL与其它厂家的对比 3 ACL的定义 ACL AccessControlLists 是交换机实现的一种数据包过滤机制 通过允许或拒绝特定的数据包进出网络 交换机可以对网络访问进行控制 有效保证网络的安全运行 4 标准检查源地址允许或禁止所有的协议 ACL的定义 5 标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol ACL的定义 6 标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议InboundorOutbound OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol ACL的定义 7 172 16 0 0 172 17 0 0 Internet 管理随网络扩张而增长的网络流量过滤通过交换机和路由器的数据包 为什么使用访问控制列表 8 列表的检测 允许或禁止 9 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Y Y 列表的检测 允许或禁止 10 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit 列表的检测 允许或禁止 11 列表的检测 允许或禁止 12 NumberRange Identifier AccessListType IP 1 99 Standard 标准IP列表 1to99 检查所有包的源地址 怎样定义访问控制列表 13 NumberRange Identifier AccessListType IP 1 99100 199 StandardExtended 标准IP列表 1to99 检查所有包的源地址扩展IP列表 100to199 能够检查源地址和目的地址 特定的TCP IP协议 和目的端口 怎样定义访问控制列表 14 NumberRange Identifier IP 1 99100 199 1300 1999 2000 2699Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed AccessListType IPX 标准IP列表 1to99 检查所有包的源地址扩展IP列表 100to199 能够检查源地址和目的地址 特定的TCP IP协议 和目的端口其它的访问列表号对应其他的网络协议 怎样定义访问控制列表 15 标准列表检查过程 16 扩展列表检查过程 17 二 ACL功能 1 拒绝特定的数据包进 出端口 2 允许特定的数据包进端口 3 和Qos配合 特定的数据包限制流量进入网络 问题1 如何描述 特定 问题2 如何与Qos配合 18 问题1 特定 特定 用户通过规则 rule 来定义自己的需求 Rule包含的信息可以包括源MAC 目的MAC 源IP 目的IP IP协议号 tcp端口等条件的有效组合 我们当前的规则分为3大类 1 MAC规则2 IP规则3 MAC IP规则注意 过滤功能若使能 则每个端口都还有一个规则 1 默认规则 19 1 MAC规则 1 MAC规则 包含源 目的MAC地址 帧类型 802 1Q的tag cos和vlanid 上层报文类型 命令举例 no deny permit any source mac host source mac any destination mac host destination mac tagged eth2 cos vlanId ethertype 功能 创建一条匹配tagged以太网2帧类型的MAC访问规则 rule no操作为删除此命名扩展MAC访问规则 rule 20 MAC规则举例 用户有如下配置需求 交换机的10端口连接的网段的MAC地址是00 12 11 23 XX XX 并且不允许802 3的数据报文发出 配置步骤 1 创建相应的MACACL2 配置过滤默认动作 默认动作 没有定义规则的报文动作 3 绑定ACL到端口配置举例如下 Switch Config access list1100deny00 12 11 23 00 0000 00 00 00 ff ffanyuntagged 802 3Switch Config access list1100deny00 12 11 23 00 0000 00 00 00 ff ffanytagged 802 3Switch Config firewallenableSwitch Config firewalldefaultpermitSwitch Config interfaceethernet0 0 10Switch Config Ethernet0 0 10 ipaccess group1100in 21 2 IP规则 包含源 目的IP地址 协议类型 IP TCP UDP 源 目的tcp udp端口号 ICMP icmp包类型 Igmp igmp包类型 和其它任意协议类型 precedence和tos 服务类型 命令举例 no deny permit udp any source host source sPort any destination host destination dPort precedence tos 功能 创建一条udp命名扩展IP访问规则 rule 本命令的no操作为删除此命名扩展IP访问规则 rule 22 IP规则举例 用户有如下配置需求 交换机的10端口连接10 0 0 0 24网段 管理员不希望用户使用ftp 也不允许外网ping此网段的任何一台主机 配置步骤 1 创建相应的IPACL2 配置过滤默认动作 默认动作 没有定义规则的报文动作 3 绑定ACL到端口配置举例如下 Switch Config access list110denytcp10 0 0 00 0 0 255any destinationd port21Switch Config access list120denyicmpany source10 0 0 00 0 0 255Switch Config firewallenableSwitch Config firewalldefaultpermitSwitch Config interfaceethernet0 0 10Switch Config Ethernet0 0 10 ipaccess group110inSwitch Config Ethernet0 0 10 ipaccess group120out 23 3 MAC IP规则 包含源 目的MAC地址 源 目的IP地址 协议类型 IP TCP UDP 源 目的tcp udp端口号 ICMP icmp包类型 Igmp igmp包类型 和其它任意协议类型 precedence和tos 服务类型 命令举例 deny permit any source mac host source mac any destination mac host destination mac udp any source host source s port any destination host destination d port precedence tos 功能 创建一条tcp命名扩展MAC IP访问规则 rule 本命令的no操作为删除此命名扩展IP访问规则 rule 24 MAC IP规则举例 用户有如下配置需求 交换机的10端口连接的网段的MAC地址是00 12 11 23 XX XX 并且IP为10 0 0 0 24网段 管理员不希望用户使用ftp 也不允许外网ping此网段的任何一台主机 配置步骤 1 创建相应的MAC IPACL2 配置过滤默认动作 默认动作 没有定义规则的报文动作 3 绑定ACL到端口配置举例如下 Switch Config access list3110deny00 12 11 23 00 0000 00 00 00 FF FFanytcp10 0 0 00 0 0 255any destinationd port21Switch Config access list3120denyany00 12 11 23 00 0000 00 00 00 FF FFicmpany source10 0 0 00 0 0 255Switch Config firewallenableSwitch Config firewalldefaultpermitSwitch Config interfaceethernet0 0 10Switch Config Ethernet0 0 10 mac ipaccess group3110inSwitch Config Ethernet0 0 10 mac ipaccess group3120out 25 默认规则 默认规则 匹配所有的IP报文 但是优先级最低 所以当数据包同时匹配用户规则和默认规则时 用户规则起作用 默认动作 permit或者deny 二者必选其一配置举例 Switch Config firewalldefaultpermit 默认规则permit Switch Config firewalldefaultdeny 默认规则deny 26 问题2 如何与Qos配合 第一步 定义 特定 的报文 即是定义报文通过规则 rule 规则的分类如问题1所描述 第二步 Qos中的定义流量分类时选用该ACL规则 第三步 Qos中定义该流量分类的策略 流量大小 优先级等 第四步 在某个接口上使能该策略 Qos功能生效 27 Qos方案与ACL的关系 Classification 分类 Policing 监管 Mark 重写 Queuei