1、ACL應(yīng)用,客戶服務(wù)中心 張海軍,2,ACL的應(yīng)用,ACL定義 ACL功能 ACL配置步驟 ACL應(yīng)用舉例 ACL與其它廠家的對比,3,ACL的定義,ACL (Access Control Lists)是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，交換機可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運行。,4,標(biāo)準(zhǔn) 檢查源地址 允許或禁止所有的協(xié)議,ACL的定義,5,標(biāo)準(zhǔn) 檢查源地址 允許或禁止所有的協(xié)議 擴展 檢查目的地址 允許或禁止特定的協(xié)議,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Perm

2、it?,Protocol,ACL的定義,6,標(biāo)準(zhǔn) 檢查源地址 允許或禁止所有的協(xié)議 擴展 檢查目的地址 允許或禁止特定的協(xié)議 Inbound or Outbound,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,ACL的定義,7,,,Internet,管理隨網(wǎng)絡(luò)擴張而增長的網(wǎng)絡(luò)流量 過濾通過交換機和路由器的數(shù)據(jù)包,為什么使用訪問控制列表？,8,列表的檢測-允許或禁止,9,Packets to Interface(s) in the Access G

3、roup,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Y,Y,列表的檢測-允許或禁止,10,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Nex

4、t Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,列表的檢測-允許或禁止,11,列表的檢測-允許或禁止,12,Number Range/m,Access List Type,IP,1-99,Standard,標(biāo)準(zhǔn) IP 列表 (1 to 99) 檢查所有包的源地址,怎樣定義訪問控制列表？,13,Number Range/Identifier,Access List Type,IP,1-99 100-199,Standard Extended,標(biāo)準(zhǔn) IP 列表 (1 to 99) 檢查所有包的源地址 擴展 IP 列表 (100 to 199)

5、能夠檢查源地址和目的地址，特定的 TCP/IP 協(xié)議,，和目的端口,怎樣定義訪問控制列表？,14,Number Range/Identifier,IP,1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,Access List Type,IPX,標(biāo)準(zhǔn) IP 列表 (1 to

6、99) 檢查所有包的源地址 擴展 IP 列表 (100 to 199) 能夠檢查源地址和目的地址，特定的 TCP/IP 協(xié)議,，和目的端口 其它的訪問列表號 對應(yīng)其他的網(wǎng)絡(luò)協(xié)議,怎樣定義訪問控制列表？,15,標(biāo)準(zhǔn)列表檢查過程,16,擴展列表檢查過程,17,二、ACL功能,1、拒絕特定的數(shù)據(jù)包進(jìn)/出端口。 2、允許特定的數(shù)據(jù)包進(jìn)端口。 3、和Qos配合，特定的數(shù)據(jù)包限制流量進(jìn)入網(wǎng)絡(luò)。 問題1：如何描述“特定”？ 問題2：如何與Qos配合？,18,問題1：“特定”？,特定：用戶通過規(guī)則（rule）來定義自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號、tcp

7、端口等條件的有效組合， 我們當(dāng)前的規(guī)則分為3大類： 1、MAC 規(guī)則 2、IP 規(guī)則 3、MAC-IP 規(guī)則 注意：過濾功能若使能，則每個端口都還有一個規(guī)則：1 、默認(rèn)規(guī)則,19,1、MAC 規(guī)則,1、MAC 規(guī)則：包含源/目的MAC地址，幀類型，802.1Q 的tag（cos和vlan id），上層報文類型。 命令舉例： nodeny|permitany-source-mac|host-source-mac| any-destination-mac|host-destination-mac |tagged-eth2 cos vlanId ethertype 功能：創(chuàng)建一條匹配tagged 以

8、太網(wǎng)2幀類型的MAC訪問規(guī)則(rule)； no操作為刪除此命名擴展MAC訪問規(guī)則（rule）,20,MAC 規(guī)則舉例,用戶有如下配置需求：交換機的10端口連接的網(wǎng)段的MAC地址是00-12-11-23-XX-XX，并且不允許802.3的數(shù)據(jù)報文發(fā)出。 配置步驟： 1、 創(chuàng)建相應(yīng)的MAC ACL 2、 配置過濾默認(rèn)動作（默認(rèn)動作：沒有定義規(guī)則的報文動作） 3、 綁定ACL到端口 配置舉例如下： Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any untagged-802.3 Switch(Co

9、nfig)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3 Switch(Config)#firewall enable Switch(Config)#firewall default permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#ip access-group 1100 in,21,2、IP規(guī)則,包含源/目的IP地址，協(xié)議類型（IP，TCP/UDP （源/目的tcp/udp端口號），

10、ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence 和tos（服務(wù)類型）。 命令舉例：no deny | permit udp | any-source | host-source sPort | any-destination | host-destination dPort precedence tos 功能：創(chuàng)建一條udp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。,22,IP規(guī)則舉例,用戶有如下配置需求：交換機的10端口連接/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許外網(wǎng)p

11、ing此網(wǎng)段的任何一臺主機。 配置步驟： 1 創(chuàng)建相應(yīng)的IP ACL 2 配置過濾默認(rèn)動作（默認(rèn)動作：沒有定義規(guī)則的報文動作） 3 綁定ACL到端口 配置舉例如下： Switch(Config)#access-list 110 deny tcp 55 any-destination d-port 21 Switch(Config)#access-list 120 deny icmp any-source 55 Switch(Config)#firewall enable Switch(Config)#firewall defaul

12、t permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#ip access-group 110 in Switch(Config-Ethernet0/0/10)#ip access-group 120 out,23,3、MAC-IP規(guī)則,包含源/目的MAC地址，源/目的IP地址，協(xié)議類型（IP，TCP/UDP （源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence 和tos（服務(wù)類型）。 命令舉例：deny|perm

13、itany-source-mac| host-source-mac | any-destination-mac|host-destination-mac | udp |any-source| host-sources-port |any-destination| host-destination d-port precedence tos 功能：創(chuàng)建一條tcp命名擴展MAC-IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。,24,MAC-IP規(guī)則舉例,用戶有如下配置需求：交換機的10端口連接的網(wǎng)段的MAC地址是00-12-11-23-XX-XX，并且IP為1

14、/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許外網(wǎng)ping此網(wǎng)段的任何一臺主機。 配置步驟： 1、 創(chuàng)建相應(yīng)的MAC-IP ACL 2、 配置過濾默認(rèn)動作（默認(rèn)動作：沒有定義規(guī)則的報文動作） 3、 綁定ACL到端口 配置舉例如下： Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp 55 any-destination d-port 21 Switch(Config)#access-list 3120 deny any 00-12-11-

15、23-00-00 00-00-00-00-FF-FF icmp any-source 55 Switch(Config)#firewall enable Switch(Config)#firewall default permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#mac-ip access-group 3110 in Switch(Config-Ethernet0/0/10)#mac-ip access-group 3120 out,25,默認(rèn)規(guī)則,默認(rèn)

16、規(guī)則：匹配所有的IP報文，但是優(yōu)先級最低，所以當(dāng)數(shù)據(jù)包同時匹配用戶規(guī)則和默認(rèn)規(guī)則時，用戶規(guī)則起作用。 默認(rèn)動作：permit或者deny，二者必選其一 配置舉例： Switch(Config)#firewall default permit （默認(rèn)規(guī)則permit） Switch(Config)#firewall default deny （默認(rèn)規(guī)則deny ）,26,問題2:如何與Qos配合,第一步：定義“特定”的報文，即是定義報文通過規(guī)則（rule），規(guī)則的分類如問題1所描述。 第二步：Qos中的定義流量分類時選用該ACL規(guī)則。 第三步：Qos中定義該流量分類的策略（流量大小，優(yōu)先級等）。 第四步：在某個接口上使能該策略， Qos功能生效,27,Qos方案與ACL的關(guān)系,Classification（分類）,Policing（監(jiān)管）,Mark（重寫）,