ACL交换机安全端口

1、一、交换机安全端口,1.1,交换机安全端口概述,交换机可以通过限制允许访问交换机上某个端口的,MAC,地址以及,IP,地址（可选）来实现严格控制对该端口的输入。当为安全端口打开了,端口安全功能并配置了安全地址后，除了源地址为规定的安全地址外,的其他数据包将不进行转发，只对源地址为安全地址的数据包进行转,发,对交换机端口安全地址的配置实现了在数据链路层上对数据包的过,滤。安全地址既可以是,MAC,地址也可以是,MAC,地址与,IP,地址的组合,即将,MAC,地址与,IP,地址绑定后，设置为安全地址,当一个端口被设置成安全端口以后，如果该端口收到一个源地址不,属于该端口安全地址的数据包时，将产生一

2、个安全违例事件，该事件,可以通过配置交换机对违例事件的处理方式来采取不同的处理方法,如：丢弃数据包或发送通知等,每个安全端口都可以配置器安全地址的最大个数。安全地址的配置,既可以通过手动添加的方式也可以通过交换机自动学习的方式来实现,需要注意的是，自动学习的安全地址均不会绑定地址，如果在一个端,口上，你已经设置了绑定,IP,地址的安全地址，这不能在通过自动学习,来增加安全地址。但可以设置一部分安全地址,MAC,地址），剩下的,部分由交换机自动学习,1.2,交换安全端口的默认配置,端口安全默认配置包括四项具体内容，如下表所示,内容,设置,端口安全状态,所有端口均关闭端口安全功能,最大安全地址个数

3、,128,安全地址,无,违例处理方式,保护,protect,其中违例处理方式一共包含三种,1,protect,保护端口。当安全地址个数满后，即出现违例事件时，安,全端口将丢弃未知（源地址不在安全地址内）的数据包,2,restrict,当违例发生时，将发送一个,Trap,通知,3,shutdown,当违例产生时，将关闭端口并发送一个,Trap,通知。当,端口因违例而被关闭后，可以在全局配置模式下通过命令,errdisable,recovery,将端口从错误状态中恢复过来,1.3,交换机安全端口配置,配置端口安全地址的最大个数及违例处理方式,configure terminal,进入全局配置模式,

4、interface interface-id,进入端口配置模式,switchport mode access,设置接口为,access,模式，如果端口已是,access,模式该步骤可以省略,swtichport port-security,打开该端口的安全功能,switchpoet port-security maximum value,设置该接口上安全地址的,最大个数（由,value,指定，范围是,1-128,switchport port-security violation protect|restrict|shutdown,设置安全端口违例处理方式,实例,Switch# configu

5、re terminal,Switch(config)# interface gigabitethernet,1/3,Switch(config-if)# switchport mode access,Switch(config-if)# switchport port-security,Switch(config-if)# switchport port-security maximum 8,Switch(config-if)# switchport port-security violation protect,Switch(config-if)#end,Switch(config)#sho

6、w port-security interface gigabitethernet,1/3,1.3,交换机安全端口配置,配置安全端口上的安全地址,configure terminal,进入全局配置模式,interface interface-id,进入端口配置模式,swtichport port-security mac-address mac-address ip-address ip,a,ddress,手工配置接口上的安全地址,ip-address,为可选项，为这个地址,绑定,ip,地址,end,回到特权模式,show port-security address,验证配置,实例,Switc

7、h# configure terminal,Switch(config)# interface gigabitethernet,1/3,Switch(config-if)# switchport mode access,Switch(config-if)# switchport port-security,Switch(config-if)# switchport port-security mac-address,00d0.f800.073c,ip-address,192.168.12.202,Switch(config-if)#end,Switch(config)#show port-se

8、curity address,或,Switch(config)#show port-security address interface gigabitethernet,1/3,1.3,交换机安全端口配置,配置安全地址的老化时间,configure terminal,进入全局配置模式,interface interface-id,进入端口配置模式,swtichport port-security aging static|time time time,表示老化时,间，范围是,0-1440,单位是分钟，如果设置为,0,表示老化功能关闭，其默,认值为,0,static,表示老化时间将同时应用于手工

9、配置和自动学习的安,全地址，否则只应用于自动学习的地址,end,回到特权模式,实例,Switch# configure terminal,Switch(config)# interface gigabitethernet,1/3,Switch(config-if)# switchport port-security aging time 8,Switch(config-if)# switchport port-security aging static,Switch(config-if)#end,Switch(config)#show port-security interface gigab

10、itethernet,1/3,注意事项,1,只有在设置了端口安全地址最大个数的情况下才能设置老化时间,2,可以通过如下命令关闭老化功能,no switchport port-security aging time,3,使用吐下命令将老化时间仅应用于动态学习的地址,no switchport port,security aging static,二、访问控制列表,ACL,2.1,访问控制列表概述,访问控制列表,ACL,Access Control List,实现了路由器和三层交换机,端口上的包过滤功能，进而实现网络安全功能。过滤功能可以对符合过,滤标准的数据包执行丢弃或转发操作。因此实现访问控制

11、列表必须清楚,网络是如何设计的,2.2,访问控制列表的类型,访问控制列表分为,IP,标准访问控制列表,Standard IP ACL,和,IP,扩展,访问控制列表,Extended IP ACL,对于满足标准，即访问控制条件的数据包有两种处理方式：允许,Permit,或拒绝,Deny,访问控制列表在应用时有两种应用方式：入栈,In,应用和出栈,Out,应用,因此，访问控制列表包含以下要素,列表名称及类型,访问控制条件,满足访问控制条件时，所执行的操作,访问控制列表应用的端口,条件应用在端口的哪儿一侧，即入栈还是出栈,2.3,访问控制列表的配置,1,标准访问控制列表,Standard IP AC

12、L,标准访问控制列表给予,IP,数据包中的,IP,地址设置访问条件,IP,标准访问控制列表,的格式如下,access-list listnumber,permit|deny| address wildcard-mask,其中,listnumber,是规则号，用于区分不同的访问控制列表，标准访问控制列表的规则序,号的范围是,1,99,permit,和,deny,表示允许或禁止满足该规则的数据包通过,address,是,IP,数据包的源,IP,地址,wildcard-mask,是源,IP,地址的反掩码,router(config)#access-list,1,permit,172.16.0.0 0

13、.0.255.255,router(config)#access-list,1,deny,0.0.0.0 255.255.255.255,2,扩展访问控制列表,Extended IP ACL,扩展访问控制列表不仅可以对原,IP,地址加以控制，还可以对目的,IP,地址,协议及端口号进行控制，也就是说在访问控制条件中可以添加目的,IP,地址,协议、端口号,IP,扩展访问列表的的格式如下,access-list listnumber,permit|deny protocol source source-wildcard,mask destination destination-wildcard-ma

14、sk operator operand,其中,listnumber,是访问控制列表的规则号，其范围是,100,199,protocol,是指定的协议，如,IP,TCP,UDP,等,destination,是目的地址,destination-wildcard-mask,是目的地址的反掩码,operator,和,operand,用于指定端口范围，默认为全部端口号,0,65535,只,有,TCP,和,UDP,协议需要指定端口范围,扩展访问控制列表支持的操作符及其语法，即,operator,的使用，见下表,操作符及其语法,意义,eq,portnumber,等于端口号,portnumber,gt,por

15、tnumber,大于端口号,portnumber,lt,portnumber,小于端口号,portnumber,neq,portnumber,不等于端口号,portnumber,range portnumber,_1 portnumber_2,介于端口号,portnumber_2,和,portnumber_1,之间,入栈应用与出栈应用,这两个应用是相对于设备的某一端口而言，入栈应用,in,是当数据从设备外,流入设备端口时进行访问控制；出栈应用,out,是当数据从设备内流出设备端,口时做访问控制,2.4,访问控制列表配置实例,1,标准访问控制列表配置实例,访问控制列表采用创建,ACL,接口上应用

16、,ACL,查看,ACL,三个部分，具体如下,创建,standard IP ACL,configure terminal,进入全局配置模式,ip access-list standard name,用数字或名字来定义一条,standard IP ACL,并进入到,access-list,配置模式,deny source source-wildcard|host source|any,在,access-list,配置模式下，声,明一个禁止通过的访问控制条件。其中,host source,代表一台源主机，其,source,wildcard,为,0.0.0.0,any,代表任一主机，即,source,

17、为,0.0.0.0,source-wildcard,为,255.255.255.255,permit source source-wildcard|host source|any,在,access-list,配置模式下,声明一个允许通过的访问控制条件。其中,host source,代表一台源主机，其,source,wildcard,为,0.0.0.0,any,代表任一主机，即,source,为,0.0.0.0,source-wildcard,为,255.255.255.255,end,退回到特权模式,show access-list name,显示访问控制列表，如果不指定,access-lis

18、t,或,name,参,数，则显示所有控制列表,注意：标准访问控制列表必须在全局配置模式下生成,将,IP standard access-list,应用到端口上,在特权模式下，通过以下步骤将,IP standard ACL,应用到指定接口上,configure terminal,进入全局配置模式,interface interface-id,进入指定接口的接口配置模式,ip access-group name in|out,将指定的,ACL,应用于该接口上，使其对输入,或输出该接口的,IP,数据包进行控制,end,退回到特权模式,用于显示,IP standard access-list,的命令,

19、命令,说明,show access-lists name,显示所有配置或指定名字的,ACL,show ip,access-list name,显示,IP ACL,show,ip,access-group interface interface-id,显示指定接口上的,IP ACL,配置,show,running-config,显示所有配置,实例：创建一个,IP standard access-list,该,ACL,的名字为,deny,host_,192.168.12,x,该列表有两条,ACE,访问控制条目），第一条,ACE,拒绝,来自,192.168.12.0,网段的任意主机，第二条,ACE,

20、允许其他主机,switch(config)#ip access-list standard deny-host_,192.168.12.0,switch(config-std-nacl)#deny,192.168.12.0 0.0.0.255,switch(config-std-nacl)#permit any,switch(config-std-nacl)#end,switch#show access-lists,在接口上应用,IP standard access-list,switch(config)#interface valn,2,switch(config-if)#ip access

21、-group deny-host_,192.168.12.0 in,2,扩展访问控制列表配置实例,访问控制列表采用创建,ACL,接口上应用,ACL,查看,ACL,三个部分，具体如下,创建,extended IP ACL,configure terminal,进入全局配置模式,ip access-list extended name,用数字或名字来定义一条,extended IP ACL,并进入到,access-list,配置模式,deny|permit protocol source source-wildcard|host source|anyoperator,port,在,access-l

22、ist,配置模式下，声明一个允许,permit,或丢弃,deny,的访问,控制条件,注意,扩展访问控制列表必须在全局配置模式下生成,source source-wildcard|host source|anyoperator port,以如下方式定义,TCP,或者,UDP,的目的或原端口,protocol,可以是,TCP,代表,TCP,数据流）,UDP,代表,UDP,数据流）,IP,代表任意,IP,数据流,port,为十进制代表,TCP,或,UDP,的端口号，取值范围是,0,65535,如果操作符在,source source-wildcard,之后，则报文的源端口匹配指定值时,条件生效,如果操作符在,destination destination-wildcard,之后，则报文的源端口匹配,指定值时条件生效,操作符,operator,只能为,eq,将,IP extended access-list,应用到端口上,在特权模式下，通过以下步骤将,IP extended ACL,应用到指定接口上,configure terminal,进入全局配置模式,interface interface-id,进入指定接口的接口配置模式,ip access-group nam