[计算机硬件及网络]DCN-TS07 ACL的应用.ppt

ACL应用,客户服务中心,2,ACL的应用,ACL定义 ACL功能 ACL配置步骤 ACL应用举例 ACL与其它厂家的对比,3,ACL的定义,ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。,4,标准 检查源地址 允许或禁止所有的协议,ACL的定义,5,标准 检查源地址 允许或禁止所有的协议 扩展 检查目的地址 允许或禁止特定的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,ACL的定义,6,标准 检查源地址 允许或禁止所有的协议 扩展 检查目的地址 允许或禁止特定的协议 Inbound or Outbound,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,ACL的定义,7,,,Internet,管理随网络扩张而增长的网络流量 过滤通过交换机和路由器的数据包,为什么使用访问控制列表？,8,列表的检测-允许或禁止,9,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Y,Y,列表的检测-允许或禁止,10,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,列表的检测-允许或禁止,11,列表的检测-允许或禁止,12,Number Range/Identifier,Access List Type,IP,1-99,Standard,标准 IP 列表 (1 to 99) 检查所有包的源地址,怎样定义访问控制列表？,13,Number Range/Identifier,Access List Type,IP,1-99 100-199,Standard Extended,标准 IP 列表 (1 to 99) 检查所有包的源地址 扩展 IP 列表 (100 to 199) 能够检查源地址和目的地址，特定的 TCP/IP 协议,，和目的端口,怎样定义访问控制列表？,14,Number Range/Identifier,IP,1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,Access List Type,IPX,标准 IP 列表 (1 to 99) 检查所有包的源地址 扩展 IP 列表 (100 to 199) 能够检查源地址和目的地址，特定的 TCP/IP 协议,，和目的端口 其它的访问列表号 对应其他的网络协议,怎样定义访问控制列表？,15,标准列表检查过程,16,扩展列表检查过程,17,二、ACL功能,1、拒绝特定的数据包进/出端口。 2、允许特定的数据包进端口。 3、和Qos配合，特定的数据包限制流量进入网络。 问题1：如何描述“特定”？ 问题2：如何与Qos配合？,18,问题1：“特定”？,特定：用户通过规则（rule）来定义自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合， 我们当前的规则分为3大类： 1、MAC 规则 2、IP 规则 3、MAC-IP 规则 注意：过滤功能若使能，则每个端口都还有一个规则：1 、默认规则,19,1、MAC 规则,1、MAC 规则：包含源/目的MAC地址，帧类型，802.1Q 的tag（cos和vlan id），上层报文类型。 命令举例： nodeny|permitany-source-mac|host-source-mac| any-destination-mac|host-destination-mac |tagged-eth2 cos vlanId ethertype 功能：创建一条匹配tagged 以太网2帧类型的MAC访问规则(rule)； no操作为删除此命名扩展MAC访问规则（rule）,20,MAC 规则举例,用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3的数据报文发出。 配置步骤： 1、 创建相应的MAC ACL 2、 配置过滤默认动作（默认动作：没有定义规则的报文动作） 3、 绑定ACL到端口 配置举例如下： Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any untagged-802.3 Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3 Switch(Config)#firewall enable Switch(Config)#firewall default permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#ip access-group 1100 in,21,2、IP规则,包含源/目的IP地址，协议类型（IP，TCP/UDP （源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence 和tos（服务类型）。 命令举例：no deny | permit udp | any-source | host-source sPort | any-destination | host-destination dPort precedence tos 功能：创建一条udp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。,22,IP规则举例,用户有如下配置需求：交换机的10端口连接/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。 配置步骤： 1 创建相应的IP ACL 2 配置过滤默认动作（默认动作：没有定义规则的报文动作） 3 绑定ACL到端口 配置举例如下： Switch(Config)#access-list 110 deny tcp 55 any-destination d-port 21 Switch(Config)#access-list 120 deny icmp any-source 55 Switch(Config)#firewall enable Switch(Config)#firewall default permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#ip access-group 110 in Switch(Config-Ethernet0/0/10)#ip access-group 120 out,23,3、MAC-IP规则,包含源/目的MAC地址，源/目的IP地址，协议类型（IP，TCP/UDP （源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence 和tos（服务类型）。 命令举例：deny|permitany-source-mac| host-source-mac | any-destination-mac|host-destination-mac | udp |any-source| host-sources-port |any-destination| host-destination d-port precedence tos 功能：创建一条tcp命名扩展MAC-IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。,24,MAC-IP规则举例,用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且IP为/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。 配置步骤： 1、 创建相应的MAC-IP ACL 2、 配置过滤默认动作（默认动作：没有定义规则的报文动作） 3、 绑定ACL到端口 配置举例如下： Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp 55 any-destination d-port 21 Switch(Config)#access-list 3120 deny any 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 55 Switch(Config)#firewall enable Switch(Config)#firewall default permit Switch(Config)#interface ethernet 0/0/10 Switch(Config-Ethernet0/0/10)#mac-ip access-group 3110 in Switch(Config-Ethernet0/0/10)#mac-ip access-group 3120 out,25,默认规则,默认规则：匹配所有的IP报文，但是优先级最低，所以当数据包同时匹配用户规则和默认规则时，用户规则起作用。 默认动作：permit或者deny，二者必选其一 配置举例： Switch(Config)#firewall default permit （默认规则permit） Switch(Config)#firewall default deny （默认规则deny ）,26,问题2:如何与Qos配合,第一步：定义“特定”的报文，即是定义报文通过规则（rule），规则的分类如问题1所描述。 第二步：Qos中的定义流量分类时选用该ACL规则。 第三步：Qos中定义该流量分类的策略（流量大小，优先级等）。 第四步：在某个接口上使能该策略， Qos功能生效,27,Qos方案与ACL的关系,Classification（分类）,Policing（监管）,Mark（重写）,Q