三层交换机访问控制列表ACL的配置重点.ppt

三层交换机访问列表ACL的配置 ACL 是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。 ACL 是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。 根据不同的标准，ACL可以有如下分类： 根据过滤信息：ip access-list （三层以上信息），mac access-list （二层信息），mac-ip access-list （二层以上信息）。 根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。 根据命名方式：数字(numbered)和命名(named) IP ACL （1）配置数字标准IP 访问列表 （2）配置数字扩展IP 访问列表 （3）配置命名标准IP 访问列表 （4） 配置命名扩展IP 访问列表 MAC ACL （1）配置数字标准MAC 访问列表 （2）配置数字扩展MAC 访问列表 （3）配置命名扩展MAC 访问列表 MAC-IP （1）配置数字扩展MAC-IP 访问列表 （2）配置命名扩展MAC-IP 访问列表 IP 访问列表类型 命名标准IP 访问列表 命名扩展IP 访问列表 数字标准IP 访问列表 数字扩展IP 访问列表 基于时间的访问列表 配置命名标准IP访问列表的步骤 创建一个命名标准IP 访问列表 指定多条permit 或deny 规则 开启交换机的包过滤功能，并设置其默认动作 将访问列表应用到指定端口 创建一个命名标准IP 访问列表 命令： ip access-list standard name 说明： name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。 指定多条permit 或deny 规则 命令： deny | permit {sIpAddr sMask } | any-source | {host-source sIpAddr} 说明： sIpAddr为源IP地址，sMask为源IP的反掩码。 开启交换机的包过滤功能 相关命令： Firewall enable 作用：开启交换机的包过滤功能（即防火墙功能） Firewall disable 作用：关闭交换机的包过滤功能 设置包过滤的默认动作 相关命令： Firewall default permit 作用：设置其默认动作为允许 Firewall default deny 作用：设置其默认动作为拒绝 说明 此命令只影响端口入口方向的IP 包，其余情况下数据包均可通过交换机。 将访问列表应用到指定端口 命令： Interface interface Ip access-group access-list-name in|out 作用：在端口的某个方向上应用一条access-list 说明 一个端口可以绑定一条入口规则和一条出口规则； ACL 绑定到出口时只能包含deny 规则； 如果是堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。 总结： 对ACL 中的表项的检查是自上而下的，只要匹配一条表项，对此ACL 的检查就马上结束。 端口特定方向上没有绑定ACL 或没有任何ACL 表项匹配时，才会使用默认规则。 每个端口入口和出口可以各绑定一条IP ACL 。 当一条ACL 被绑定到端口出口方向时，只能包含deny 表项。 可以配置ACL 拒绝某些ICMP 报文通过以防止“冲击波”等病毒攻击。 对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。 标准访问列表应用举例 switch#conf Switch(config)# ip access-list standard pc1toserver1 # deny host-source #exit #int e0/0/23 #ip access-group pc1toserver1 out Switch(config)# ip access-list standard pc1toserver2 # deny host-source #exit #in