介绍应用交换机no dcn.pptx

ACL应用客服中心技术团队2012年11月

ACL的应用ACL定义ACL配置步骤

ACL的定义ACL(AccessControlLists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。

标准检查源地址允许或禁止所有的协议OutgoingPacketE0S0ingPacketAccessListProcessesPermit?SourceACL的定义

扩展检查目的地址允许或禁止特定的协议OutgoingPacketE0S0ingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定义

管理随网络扩张而增长的网络流量过滤通过交换机和路由器的数据包172.16.0.0172.17.0.0Internet为什么使用访问控制列表？ACL的定义

列表的检测-允许或禁止PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyDenyNACL的定义

8NumberRange/IdentifierIP 1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX标准IP列表(1to99)检查所有包的源地址扩展IP列表(100to199)能够检查源地址和目的地址，特定的TCP/IP协议,，和目的端口其它的访问列表号对应其他的网络协议怎样定义访问控制列表？ACL的定义

SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99标准列表检查过程ACL的定义

DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit扩展列表检查过程ACL的定义

问题1：“特定”？特定：用户通过规则（rule）来定义自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合，我们当前的规则分为3大类：1、MAC规则2、IP规则3、MAC-IP规则注意：过滤功能若使能，则每个端口都还有一个规则：1、默认规则ACL的定义

默认规则默认规则：匹配所有的IP报文，但是优先级最低，所以当数据包同时匹配用户规则和默认规则时，用户规则起作用。默认动作：permit或者deny，二者必选其一配置举例：Switch(Config)#firewalldefaultpermit（默认规则permit）Switch(Config)#firewalldefaultdeny（默认规则deny）ACL的定义

ACL的应用ACL定义ACL配置步骤

ACL配置步骤(一)标准ACL配置一、组网说明交换机的端口1连接192.168.1.1主机，管理员不希望这个用户访问任何资源。

三、配置步骤

switch(config)#firewallenable#全局开启firewall