1、1,第5章 交換機端口安全及認證,5.1 交換機端口安全及配置 5.2 在三層交換機上配置訪問控制列表ACL5.3 交換機端口安全認證簡介,2,5.2 在三層交換機上配置訪問控制列表ACL,5.2.1 ACL概述5.2.2 ACL的類型5.2.3 ACL配置,什么是訪問列表,Access Control List：訪問列表或訪問控制列表，簡稱 ACLACL就是對經過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾,,,,,,

2、,ISP,,,,,√,4,訪問列表,訪問控制列表的作用：內網(wǎng)布署安全策略，保證內網(wǎng)安全權限的資源訪問內網(wǎng)訪問外網(wǎng)時，進行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞,5,訪問列表的組成,定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應用在路由器（或交換機）的接口上,6,,,訪問列表規(guī)則的應用,路由器（或交換機）應用訪問列表對流經接口的數(shù)據(jù)包進行控制1.入棧應用（in）經某接口

3、進入設備內部的數(shù)據(jù)包進行安全規(guī)則過濾2.出棧應用（out）設備從某接口向外發(fā)送數(shù)據(jù)時進行安全規(guī)則過濾一個接口在一個方向只能應用一組訪問控制列表,F1/0,F1/1,IN,OUT,7,訪問列表的入棧應用,,,,,N,Y,是否允許?,Y,,是否應用訪問列表?,N,,查找路由表進行選路轉發(fā),,以ICMP信息通知源發(fā)送方,,,,以ICMP信息通知源發(fā)送方,,,,,,,,N,Y,,,,,選擇出口S0,,,路由表中是否存在記錄?

4、,N,Y,查看訪問列表的陳述,是否允許?,Y,,,是否應用訪問列表?,,,N,S0,S0,,訪問列表的出棧應用,,,9,IP ACL執(zhí)行如下基本準則，執(zhí)行順序如下圖所示：從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”一切未被允許的就是禁止的。路由器或三層交換機缺省允許所有的信息流通過; 而防火墻缺省封鎖所有的信息流，然后對希望提供的服務逐項開放。按規(guī)則鏈來進行匹配使用源地址、目的地址

5、、源端口、目的端口、協(xié)議、時間段進行匹配按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配,ACL的工作原理,10,一個訪問列表多條過濾規(guī)則,11,5.2.2 ACL的類型,分類：1、IP標準訪問控制列表(Standard IP ACL)2、IP擴展訪問控制列表(Extended IP ACL)動作：允許(Permit)拒絕(Deny)應用方法：入棧(Out)出棧(In),12,訪問列表規(guī)

6、則的定義,標準訪問列表根據(jù)數(shù)據(jù)包源IP地址進行規(guī)則定義擴展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進行規(guī)則定義,源地址,,,,,,TCP/UDP,,數(shù)據(jù),IP,eg.HDLC,,1-99 號列表,IP標準訪問列表,目的地址,源地址,協(xié)議,端口號,,,,,IP擴展訪問列表,,,,,TCP/UDP,,數(shù)據(jù),IP,eg.HDLC,,100-199 號列表,0表示檢查相應的地址比特 1表示不檢查相應的地址比特,,

7、,,,,,,,128,64,32,16,8,4,2,1,,0,0,0,0,0,0,0,0,反掩碼（通配符）,,IP標準訪問列表的配置,1.定義標準ACL命名的標準訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]2.應用ACL到接口Router(config-if)#ip access-g

8、roup { in | out },,IP擴展訪問列表的配置,1.定義擴展的ACL編號的擴展ACLRouter(config)#access-list { permit /deny } 協(xié)議 源地址 反掩碼 [源端口] 目的地址 反掩碼 [ 目的端口 ]命名的擴展ACLip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端

9、口 ] 2.應用ACL到接口Router(config-if)#ip access-group { in | out },18,基于名稱的訪問控制列表,ip access-list [standard|extended] [ACL名稱] 其中standard為標準命名ACL，extended為擴展命名ACLdeny | permit {source-net source-wildcard | host source-addr

10、ess | any} 標準命名ACL規(guī)則deny | permit protocol{source-net source-wildcard | host source-address| any}[operator port] {destination-net destination-wildcard |host destination-address |any}[operator port] 擴展命名ACL規(guī)則,19,5.2.3 AC

11、L配置,命名ACL配置命名的標準訪問列表 命令格式為： ①定義命名的標準訪問列表： ip access-list standard { name} deny　{source source-wildcard|host　source|any} orpermit {source source-wildcard|host　source|any} ②應用ACL到接口 Router(

12、config-if)#ip access-group {name} { in | out },20,③顯示ACL信息在特權模式下使用如下命令可以顯示ACL配置信息Show access-lists [name] //顯示所有或指定名稱的ACL配置信息Show ip access-lists [name] //顯示所有或指定名稱的IP ACL配置信息Show ip access-group [interface inter

13、face-id] //顯示指定接口上的IP ACL配置信息Show running-config //顯示正在運行的所有配置信息,21,（2）擴展的ACL命名的擴展ACL格式：ip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端口 ] 應用ACL到接口：Router(config-if)#ip access-group {

14、name} { in | out },,IP標準訪問列表的配置,1.定義標準ACL命名的標準訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]2.應用ACL到接口Router(config-if)#ip access-group { in | out },23,172.16.3.0,17

15、2.16.4.0,F1/0,S1/2,F1/1,,,,,,,172.17.0.0,,,IP標準訪問列表配置實例(一),配置：access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)interface serial 1/2ip access-group 1 out,24,標準訪問列表配置實例(二),需求：你是某校園網(wǎng)管，領導要你對網(wǎng)絡的數(shù)據(jù)流量進

16、行控制,要求校長可以訪問財務的主機，但教師機不可以訪問。配置：ip access-list standard abcpermit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,,IP擴展訪問列表的配置,1.定義擴展的ACL編號的擴展ACLRouter(config)#access-list { permit /deny } 協(xié)議 源地址 反掩碼 [源端口] 目的地址 反掩碼 [ 目

17、的端口 ]命名的擴展ACLip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端口 ] 2.應用ACL到接口Router(config-if)#ip access-group { in | out },IP擴展訪問列表配置實例(一),如何創(chuàng)建一條擴展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡（192.168.x..x）的

18、所有主機以HTTP訪問服務器172.168.12.3，但拒絕其它所有主機使用網(wǎng)絡Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,27,access-list 115 deny udp any any eq 69 　　access-

19、list 115 deny tcp any any eq 135　　access-list 115 deny udp any any eq 135　　access-list 115 deny udp any any eq 137　　access-list 115 deny udp any any eq 138　　access-list 115 deny tcp any any eq 139　　access-list 115 d

20、eny udp any any eq 139　　access-list 115 deny tcp any any eq 445　　access-list 115 deny tcp any any eq 593　　access-list 115 deny tcp any any eq 4444　　access-list 115 permit ip any any 　　interface 　　ip

21、access-group 115 in 　　ip access-group 115 out,IP擴展訪問列表配置實例(二),利用ACL隔離沖擊波病毒,28,,訪問列表的驗證,顯示全部的訪問列表Router#show access-lists顯示指定的訪問列表Router#show access-lists 顯示接口的訪問列表應用Router#show ip i

22、nterface 接口名稱 接口編號,29,IP訪問列表配置注意事項,1、一個端口在一個方向上只能應用一組ACL2、銳捷全系列交換機可針對物理接口和SVI接口應用ACL針對物理接口，只能配置入棧應用(In)針對SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應用3、訪問列表的缺省規(guī)則是：拒絕所有,30,IP ACL,注意事項：1、交換機支持命名的ACL，路由器支持編號的ACL2、刪除端口上應用的ACL時需要在