交换机端口安全及认证课件

第5章交换机端口安全及认证5.1交换机端口安全及配置5.2在三层交换机上配置访问控制列表ACL5.3交换机端口安全认证简介1第5章交换机端口安全及认证5.1交换机端口安全及配置5.2在三层交换机上配置访问控制列表ACL

5.2.1ACL概述5.2.2ACL的类型5.2.3ACL配置25.2在三层交换机上配置访问控制列表ACL5.2.1什么是访问列表AccessControlList：访问列表或访问控制列表，简称ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√什么是访问列表AccessControlList：访问列访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏4访问列表访问控制列表的作用：4访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上5访问列表的组成定义访问列表的步骤5访问列表规则的应用路由器（或交换机）应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT6访问列表规则的应用路由器（或交换机）应用访问列表对流经接口访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方7访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0访问列表的出栈应用以ICMP信息通知源发送方NY选择出口

S0

路由表中是NYIPACL执行如下基本准则，执行顺序如下图所示：从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配ACL的工作原理9IPACL执行如下基本准则，执行顺序如下图所示：ACL的工YY是否匹配

测试条件1?是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNY允许被系统隐

含拒绝N允许允许拒绝拒绝N允许通过一个访问列表多条过滤规则10YY是否匹配

测试条件1是否匹配

测试条件2拒绝是否匹配

最5.2.2ACL的类型分类：1、IP标准访问控制列表(StandardIPACL)2、IP扩展访问控制列表(ExtendedIPACL)动作：允许(Permit)拒绝(Deny)应用方法：入栈(Out)出栈(In)115.2.2ACL的类型分类：11访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义12访问列表规则的定义标准访问列表12源地址TCP/UDP数据IP

eg.HDLC1-99号列表IP标准访问列表源地址TCP/UDP数据IP

eg.HDLCIP标准访问列目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199号列表目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据

0表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）0表示检查相应的地址比特001111111286432IP标准访问列表的配置1.定义标准ACL命名的标准访问列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP标准访问列表的配置1.定义标准ACLIP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表的配置1.定义扩展的ACL基于名称的访问控制列表ipaccess-list[standard|extended][ACL名称]其中standard为标准命名ACL，extended为扩展命名ACLdeny|permit{source-netsource-wildcard|hostsource-address|any}标准命名ACL规则deny|permit

protocol{source-netsource-wildcard|host

source-address|

any}[operatorport]{destination-netdestination-wildcard|hostdestination-address|any}[operatorport]扩展命名ACL规则18基于名称的访问控制列表ipaccess-list[sta5.2.3ACL配置命名ACL配置命名的标准访问列表命令格式为：①定义命名的标准访问列表：ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}②应用ACL到接口Router(config-if)#ipaccess-group{name}{in|out}195.2.3ACL配置命名ACL配置19③显示ACL信息在特权模式下使用如下命令可以显示ACL配置信息Showaccess-lists[name]//显示所有或指定名称的ACL配置信息Showipaccess-lists[name]//显示所有或指定名称的IPACL配置信息Showipaccess-group[interface

interface-id]//显示指定接口上的IPACL配置信息Showrunning-config//显示正在运行的所有配置信息20③显示ACL信息20（2）扩展的ACL命名的扩展ACL格式：ipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]应用ACL到接口：Router(config-if)#ipaccess-group{name}{in|out}21（2）扩展的ACL21IP标准访问列表的配置1.定义标准ACL命名的标准访问列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP标准访问列表的配置1.定义标准ACLF1/0S1/2F1/1IP标准访问列表配置实例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out23F1/0S1/2F1标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：ipaccess-liststandardabcpermithostdeny55财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长24标准访问列表配置实例(二)需求：财务教师192.168.2.IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表的配置1.定义扩展的ACLIP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103IP扩展访问列表配置实例(一)如何创建一条扩展ACL

access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyany

interface<type><number>ipaccess-group115inipaccess-group115outIP扩展访问列表配置实例(二)利用ACL隔离冲击波病毒27access-list115denyudpany访问列表的验证显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists<1-199>显示接口的访问列表应用Router#showipinterface接口名称接口编号28访问列表的验证显示全部的访问列表28IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有29IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组IPACL注意事项：1、交换机支持命名的ACL，路由器支持编号的ACL2、删除端口上应用的ACL时需要在端口下删除3、交换机和交换机相连配Trunk30IPACL注意事项：30第5章交换机端口安全及认证5.1交换机端口安全及配置5.2在三层交换机上配置访问控制列表ACL5.3交换机端口安全认证简介31第5章交换机端口安全及认证5.1交换机端口安全及配置5.2在三层交换机上配置访问控制列表ACL

5.2.1ACL概述5.2.2ACL的类型5.2.3ACL配置325.2在三层交换机上配置访问控制列表ACL5.2.1什么是访问列表AccessControlList：访问列表或访问控制列表，简称ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√什么是访问列表AccessControlList：访问列访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏34访问列表访问控制列表的作用：4访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上35访问列表的组成定义访问列表的步骤5访问列表规则的应用路由器（或交换机）应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT36访问列表规则的应用路由器（或交换机）应用访问列表对流经接口访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方37访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0访问列表的出栈应用以ICMP信息通知源发送方NY选择出口

S0

路由表中是NYIPACL执行如下基本准则，执行顺序如下图所示：从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配ACL的工作原理39IPACL执行如下基本准则，执行顺序如下图所示：ACL的工YY是否匹配

测试条件1?是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNY允许被系统隐

含拒绝N允许允许拒绝拒绝N允许通过一个访问列表多条过滤规则40YY是否匹配

测试条件1是否匹配

测试条件2拒绝是否匹配

最5.2.2ACL的类型分类：1、IP标准访问控制列表(StandardIPACL)2、IP扩展访问控制列表(ExtendedIPACL)动作：允许(Permit)拒绝(Deny)应用方法：入栈(Out)出栈(In)415.2.2ACL的类型分类：11访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义42访问列表规则的定义标准访问列表12源地址TCP/UDP数据IP

eg.HDLC1-99号列表IP标准访问列表源地址TCP/UDP数据IP

eg.HDLCIP标准访问列目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199号列表目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据

0表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）0表示检查相应的地址比特001111111286432IP标准访问列表的配置1.定义标准ACL命名的标准访问列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP标准访问列表的配置1.定义标准ACLIP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表的配置1.定义扩展的ACL基于名称的访问控制列表ipaccess-list[standard|extended][ACL名称]其中standard为标准命名ACL，extended为扩展命名ACLdeny|permit{source-netsource-wildcard|hostsource-address|any}标准命名ACL规则deny|permit

protocol{source-netsource-wildcard|host

source-address|

any}[operatorport]{destination-netdestination-wildcard|hostdestination-address|any}[operatorport]扩展命名ACL规则48基于名称的访问控制列表ipaccess-list[sta5.2.3ACL配置命名ACL配置命名的标准访问列表命令格式为：①定义命名的标准访问列表：ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}②应用ACL到接口Router(config-if)#ipaccess-group{name}{in|out}495.2.3ACL配置命名ACL配置19③显示ACL信息在特权模式下使用如下命令可以显示ACL配置信息Showaccess-lists[name]//显示所有或指定名称的ACL配置信息Showipaccess-lists[name]//显示所有或指定名称的IPACL配置信息Showipaccess-group[interface

interface-id]//显示指定接口上的IPACL配置信息Showrunning-config//显示正在运行的所有配置信息50③显示ACL信息20（2）扩展的ACL命名的扩展ACL格式：ipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]应用ACL到接口：Router(config-if)#ipaccess-group{name}{in|out}51（2）扩展的ACL21IP标准访问列表的配置1.定义标准ACL命名的标准访问列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP标准访问列表的配置1.定义标准ACLF1/0S1/2F1/1IP标准访问列表配置实例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out53F1/0S1/2F1标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：ipaccess-liststandardabcpermithostdeny55财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长54标准访问列表配置实例(二)需求：财务教师192.168.2.IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表的配置1.定义扩展的ACLIP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list103permittcp55hosteqwwwRouter#