神州数码ACL原理和配置.ppt

acl原理和配置,靳伟 dcn技术支持部,acl原理和配置 -适用于dcs-3926s,5526s,5512gc,配置任务列表： 创建一个命名标准ip 访问列表(最后隐含默认是允许): 配置包过滤功能: （1）全局打开包过滤功能 （2）配置默认动作(default action) 将accessl-list 绑定到特定端口的特定方向;,acl原理和配置 -适用于dcs-3926s,5526s,5512gc,vlan 2,vlan 3,vlan 4,禁止vlan2的icmp数据报通过，并过滤掉某些端口,acl原理和配置 -适用于dcs-3926s,5526s,5512gc,acl配置实例:,vlan 2 vlan 2 ! vlan 3 vlan 3 ! vlan 4 vlan 4 ! ip access-list extended test1 deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 permit tcp 10.1.157.76 0.0.0.0 0.0.0.0 255.255.255.255 d-port 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53,acl原理和配置 -适用于dcs-3926s,5526s,5512gc,firewall enable ! interface ethernet0/0/2 ip access-group test1 in switchport access vlan 2 interface ethernet0/0/3 switchport access vlan 2 interface ethernet0/0/4 switchport access vlan 3 interface ethernet0/0/5 switchport access vlan 3 interface ethernet0/0/6 switchport access vlan 4 interface ethernet0/0/7 switchport access vlan 4,命令：firewall enable | disable 功能：允许防火墙起作用或禁止防火墙起作用。 参数：enable 表示允许防火墙起作用；disable 表示禁止防火墙起作用。 缺省情况：缺省为防火墙不起作用。 命令模式：全局配置模式 使用指南： 在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有acl。,acl原理和配置 -适用于dcs-3926s,5526s,5512gc,命令解释: 命令：firewall default permit | deny 功能：设置防火墙默认动作。 参数： permit 表示允许数据包通过；deny 表示拒绝数据包通过。 命令模式：全局配置模式 缺省情况：缺省动作为permit。 使用指南：此命令只影响端口入口方向的ip 包，其余情况下数据包均可通过交换机,acl原理和配置 -适用于dcrs-7200、7600,访问控制列表（acl）是一种qos 策略，用来控制交换机或路由器端口对于数据包的允许或拒绝。访问控制列表实际上是过滤列表，数据的类型使用策略条件定义（policy condition），策略行为（policy action）则决定允许或拒绝。 总体来说有3 类访问控制列表： layer 2 acls：用来过滤mac 层数据； layer 3/4 acls：用来过滤网路层数据； multicast acl：用来过滤igmp 数据。,acl原理和配置 -适用于dcrs-7200、7600,访问控制列表参数: 最大的策略规则数量2048 最大的策略条件（policy condition）数量2048 最大的策略行为（policy action）数量2048 最大的策略服务（policy service）数量256 最大的组（网络，mac，服务，端口）数量1024 最大的组条目数量每组512 最大的流数量64000,acl原理和配置 -适用于dcrs-7200、7600,访问控制列表默认配置 属性 命令 默认取值 global桥接配置 qos default bridged disposition accept global路由配置 qos default routed disposition accept global 组播配置 qos default multicast disposition accept global 策略规则配置 policy rule disposition accept global 策略规则优先 policy rule precedence 0（最低）,acl原理和配置 -适用于dcrs-7200、7600,策略优先 交换机对进入交换机的数据流根据策略优先进行分类。优先是根据规则的类型进行分类的（layer 2 数据源，layer 2 数据目的或layer 3 数据）。而且每条策略有从0 到65535 的优先级。 当1 条数据流到达交换机时，layer 2 数据源首先进行匹配检验。如果没有匹配，进行layer 2 数据目的匹配。 如果还没有匹配则进行layer 3 数据匹配。如果1 条数据流符合1 条以上的规则，优先级决定哪条规则起作用。,acl原理和配置 -适用于dcrs-7200、7600,配置访问控制列表通常有下列步骤： 设置global 配置: 默认状态下，不和任何策略匹配的数据流在交换机上允许。 global 命令包括： qos default bridged disposition qos default routed disposition qos default multicast disposition 改变global 默认配置，使用相应的命令，并在disposition 后面加上accept，drop 或deny。,acl原理和配置 -适用于dcrs-7200、7600,2. 创建过滤流量的策略条件: 单一策略条件：可以包括源ip 地址，目的ip 地址，源ip 端口或目的ip 端口，也可以包括网络组，mac 组，端口组或服务组。 使用policy condition 命令创建策略条件，例如： - policy condition subnet source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 策略条件组：可使用group 关键字，这样1 条策略条件可以过滤多个地址或端口。 - policy network group netgroup2 10.10.5.1 10.10.5.2 10.10.5.3 - policy condition cond2 source network group netgroup2,acl原理和配置 -适用于dcrs-7200、7600,3. 创建策略行为：允许或拒绝 使用policy action disposition 命令来创建策略行为，disposition 后面可以使用的关键字为accept 或deny； 如果用户没有指定行为，则默认accept；,acl原理和配置 -适用于dcrs-7200、7600,4. 创建联合策略条件和策略行为的策略规则： 策略规则由策略条件和策略行为组成 - policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 - policy action b1 disposition deny - policy rule c1 condition a1 action b1 输入上述命令后，需要使用qos apply 命令启用。,acl原理和配置 -适用于dcrs-7200、7600,4. 创建联合策略条件和策略行为的策略规则(续)： 反身规则（reflexive rules）单向访问（只支持udp和tcp端口） 反身策略允许反向的数据流通过交换机返回，而通常这些数据流是被拒绝的。 例如：配置了2 条策略规则，规则rule2 丢弃掉所有目的地址是192.68.82.0 子网的流量，而规则rule2 则配置成反身规则，所以反向的数据流不会被丢弃。 - policy condition source1 source ip 192.68.82.0 mask 255.255.255.0 - policy condition dest1 destination ip 192.68.82.0 mask 255.255.255.0 - policy action permit disposition accept - policy action prevent disposition deny - policy rule rule1 condition source1 action permit reflexive - policy rule rule2 condition dest1 action prevent,acl原理和配置 -适用于dcrs-7200、7600,配置实例一：(禁止vlan1和vlan2之间的互访，并且禁止在vlan1内部pc之间的互访) ! configuration: ! vlan : vlan 1 router ip 192.168.10.1 255.255.255.0 e2 vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.12.1 255.255.255.0 e2 vlan 2 port default 1/2 ! qos : qos classifyl3 bridged /检查桥接数据包的三层信息/ policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 policy condition a2 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.10.0 mask 255.255.255.0 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -适用于dcrs-7200、7600,配置实例二：(禁止vlan2访问tcp的135139端口，并且在交换机上禁止icmp数据通过) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy service kkk destination tcp port 135-139 policy condition a1 source ip 192.168.2.0 mask 255.255.255.0 destination tcp port 135-139 policy condition a2 ip protocol 1 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -适用于dcrs-7200、7600,配置实例三：(单向访问，vlan2可以访问vlan3，担vlan3不能访问vlan2。 请验证此时vlan2是否可以ping同vlan3？) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy co