RTR-0016控制部门间互访

1、课程说明课程适用人员：适用于渠道工程师、中锐工程师、客户以及内部工程师课程特点：以刚入职的工程师“小锐”学习成长路线为背景素材，贯穿项目案例，方便新学员入门课程注重实用，强化配置案例，方便学员学习后遇到类似的项目能快速上手配置。知识点明确，通过回顾和练习重复课程重点。第 1页 / 共 4页06 控制部门间互访技术培训中心/锐捷网络第 3页 / 共 4页公共技术系列课程最近有个客户要改造网络，提了个需求。由于客户的财务系统最近实施了信息化改造，基本所有的业务都通过网络来访问。这样的改造确实大大加快了客户的工作效率，但是财务处的主管也有个担心，现在的系统都是用网络连起来的，如果其他人员监听或者非法

2、访问了财务处的信息，将给公司造成巨大损失。想求助小锐的公司能不能解决这个问题。二层交换机二层交换机三层交换机技术部技术部财务部财务部第 4页 / 共 4页公共技术系列课程看到这个拓扑，小锐想起来之前有个项目也有类似的需求，当时是使用了vlan和trunk的方式进行隔离的。当时还没有学习三层交换机，现在拓扑中的三层交换机让原来用vlan隔离的网络又重新互通了。这个问题如何解决呢？由于小锐后来没有跟进早期的那个项目，不太了解，他就来请教经理，想问问之前那个项目后来是怎么实现的。二层交换机二层交换机三层交换机技术部技术部财务部财务部第 5页 / 共 4页公共技术系列课程小锐找经理说明了情况，经理夸小

3、锐分析的还是比较清楚。同时也告诉小锐，当时使用ACL来进行隔离的。经理给了小锐一个学习胶片，让小锐看看，明天给他聊聊学习成果。经理每次总是给小锐指引学习方向，让小锐信心十足，答应保证完成好。二层交换机二层交换机三层交换机技术部技术部财务部财务部123123242421第一章 访问控制列表（ACL）原理与配置控制部门间互访第一章 访问控制列表（ACL）原理与配置ACL： Access Control Lists，访问控制列表默认交换机和路由器按照之前学习过的转发规则来转发数据。如果我们想对一部分数据进行特殊的控制，我们可以使用访问控制列表。例如在这个案例中，默认技术部和财务部经过三层交换机会互访

4、，此时，我们可以配置访问控制列表，控制数据的转发。第 7页 / 共 4页二层交换机二层交换机三层交换机技术部技术部财务部财务部第一章 访问控制列表（ACL）原理与配置ACL的实现ACL通过反掩码匹配特性的数据，我们可以指定转发或者丢弃这些数据。例如，我们想禁止0来访问0，可以如下定义一条ACL：我们来分析下这个ACL的含义：第 8页 / 共 4页Ruijie(config)#ip access-list extended 101Ruijie(config-ext-nacl)#deny ip 55 192.168.

5、3.0 55 ip access-list extended 101 10 deny ip 55 55 ACL的类型的类型ACL的名字的名字ACL的动作的动作 匹配的数据流类型匹配的数据流类型源源IP所在的子网所在的子网子网掩码，以反子网掩码，以反掩码形式配置掩码形式配置目的目的IP所在的子网所在的子网 子网掩码，以反子网掩码，以反掩码形式配置掩码形式配置序号序号第一章 访问控制列表（ACL）原理与配置常用ACL的类型根据能匹配到的数据的不同，我们将ACL进行一些分类。标准ACL：只能匹配IP数据包头部中

6、的源IP地址。 匹配ACL中的时候，使用“standard”关键字。扩展ACL：匹配源IP/目的IP、协议（TCP/IP）、协议信息等 配置ACL的时候使用”extended”关键字除了以上两种常见类型外，还存在其他类型的ACL第 9页 / 共 4页第一章 访问控制列表（ACL）原理与配置ACL的命名数字命令 需要注意标准和扩展两种类型ACL的数字命名范围是不一样的自定义名称 将ACL定义一个名字，推荐使用。比如禁止VLAN10内的PC访问VLAN30，可以定义为DENY_VLAN10_TO_VLAN30，这样可以一目了然地知道所配置的ACL是为什么需求服务的。第 10页 / 共 4页Ruij

7、ie(config)#ip access-list standard ? IP standard acl IP standard acl (expanded range) WORD Acl nameRuijie(config)#ip access-list extended ? IP extended acl IP extended acl (expanded range) WORD Acl 第一章 访问控制列表（ACL）原理与配置ACL的动作分为两种：permit和deny permit：允许permit后面语句匹配的数据流通过 deny：禁止deny后面语句匹配的数据流通过第 11页 /

8、共 4页ACL中的子网与反掩码配置反掩码常用于匹配一段数据。在OSPF中发布路由时我们就用到了反掩码。 前边的standard表示这是个标准的ACL，只能匹配源IP地址。则这个ACL表示：允许源IP地址为55的数据通过。ACL的两个通配符 host：代表只允许这个IP地址 any：代表允许所有第一章 访问控制列表（ACL）原理与配置第 12页 / 共 4页Ruijie(config)#ip access-list standard 13Ruijie(config-std-nacl)#permit 55 Ruiji

9、e(config)#ip access-list standard 13Ruijie(config-std-nacl)#permit host 0 Ruijie(config)#ip access-list standard 13Ruijie(config-std-nacl)#permit 0 表示这个范围：55这两个ACL的含义相同，都表示只允许源IP为0的数据通过第一章 访问控制列表（ACL）原理与配置ACL中配置多条语句需求： 允许的用户访问

10、/24内的所有PC 不允许/24的其余用户访问/24内的所有PC 不允许/24的用户访问/24内的所有PC 不允许/24的用户访问的web服务 放行其他数据配置思路： 首先确定是采用标准ACL还是扩展ACL 这里由于需要对源IP和目的IP同时控制，因此需要使用扩展ACL 根据需求写出ACL 分析需求，写出语句第 13页 / 共 4页第一章 访问控制列表（ACL）原理与配置ACL中配置多条语句需求： 允许的用户访问192.168

11、.4.0/24内的所有PC 不允许/24的其余用户访问/24内的所有PC 不允许/24的用户访问/24内的所有PC 不允许/24的用户访问的web服务 放行其他数据配置：第 14页 / 共 4页Ruijie(config)#ip access-list extended safeRuijie(config-ext-nacl)#permit ip host 55Ruijie(config-ext-nacl)#d

12、eny ip 55 55Ruijie(config-ext-nacl)#deny ip 55 55Ruijie(config-ext-nacl)#deny tcp 55 host eq 80Ruijie(config-ext-nacl)#permit ip any 第一章 访问控制列表（ACL）原理与配置ACL中配置多条语句每一条语句也称为ACE，访问控制表项(Access Control

13、 Entry：ACE)ACE匹配的顺序为从上至下，即编号从低到高进行匹配一旦被某条ACE匹配成功（无论动作是deny或permit）, 跳出该ACL如果ACL中配置了语句，那么将在最后隐含一条默认ACL deny ip any any（不显示）因此，一般情况下一个ACL必须以permit语句结尾，否则没有意义。 ACL按照序号从上往下依次匹配，如果数据包符合一条ACE的条件，则跳出ACL，并执行这条ACE所对应的动作。第 15页 / 共 4页ip access-list extended safe 10 permit ip host 0.0.0.

14、255 20 deny ip 55 55 30 deny ip 55 55 40 deny tcp 55 host eq 80 50 permit ip any any一个一个ACL中包含多个中包含多个ACE20 deny ip 55 55序号 动作条件第一章 访问控制列表（ACL）原理与配置ACL中配置多条语句A

15、CL序号的作用 自动生成的序号，默认以10为单位递增。由于ACL对ACE的顺序有要求，这样设计方便后续添加和维护ACL。 例如，如果要添加允许访问 /24这条规则，那么需要添加到20-30这个序号之间。第 16页 / 共 4页ip access-list extended safe 10 permit ip host 55 20 deny ip 55 55 30 deny ip 0.0.0.

16、255 55 40 deny tcp 55 host eq 80 50 permit ip any anyRuijie(config)#ip access-list extended safeRuijie(config-ext-nacl)#21 permit ip host 55ip access-list extended safe 10 permit ip host 55 2

17、0 deny ip 55 55 21 permit ip host 55 30 deny ip 55 55 40 deny tcp 55 host eq 80 50 permit ip any 第一章 访问控制列表（ACL）原理与配置ACL应用位置ACL最终要在接口上调用才能生效。它有两个方向： in：表示匹配从这个接口进去的数

18、据 out：表示匹配从这个接口出去的数据 ACL可以在物理接口或SVI接口上来调用第 17页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1PC2Ruijie(config)#int f0/1Ruijie(config-FastEthernet 0/1)#ip access-group safe 第一章 访问控制列表（ACL）原理与配置ACL综合应用需求：阻止技术部访问财务部ACL配置步骤（例如要求在SW2上配置）： 1、根据需求判断使用标准ACL还是扩展ACL 2、写出ACL语句 3、在接口上调用ACL第 18页 / 共 4

19、页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1PC2/24/第一章 访问控制列表（ACL）原理与配置ACL综合应用需求：阻止技术部访问财务部ACL配置步骤： 1、根据需求判断使用标准ACL还是扩展ACL 由于需求中有源和目的IP，因此采用扩展ACL 2、写出ACL语句 3、在接口上调用ACL第 19页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1PC2/24/24ip access

20、-list extended safe 10 deny ip 55 55 20 permit ip any 第一章 访问控制列表（ACL）原理与配置ACL综合应用需求：阻止技术部访问财务部ACL配置步骤： 1、根据需求判断使用标准ACL还是扩展ACL 2、写出ACL语句 3、在接口上调用ACL（在连接技术部的接口上配置） 这样技术部就无法访问财务部了。第 20页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1PC2/24192.1

21、68.2.0/24SW2(config)#int f0/1SW2(config-FastEthernet 0/1)#ip access-group safe 第一章 访问控制列表（ACL）原理与配置ACL综合应用需求：阻止技术部访问财务部ACL配置步骤： 1、根据需求判断使用标准ACL还是扩展ACL 2、写出ACL语句 3、在接口上调用ACL（在连接技术部的接口上配置） 这样，SW2上的技术部就没法访问财务部了。当然，安全策略要全网布置，因此在SW3上也要做类似的配置。第 21页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1

22、PC2/24/第一章 访问控制列表（ACL）原理与配置基于时间的ACL可以实现某条ACE在只在某个时间段内生效 例如，我们在办公时间（9:00-18:00）只允许访问WEB网页，其他应用则被禁止。办公时间外，任何网络都可以应用。配置思路 1.正确配置设备当前时间 在#模式下使用clock set命令设置 2.定义时间段 3.为ACL中的特定ACE关联定义好的时间段第 22页 / 共 4页第一章 访问控制列表（ACL）原理与配置基于时间的ACL可以实现某条ACE在只在某个时间段内生效配置思路 2.定义时间段 使用absolute 关键字来定义绝对时间

23、使用periodic 关键字定义周期性的时间l下边为定义工作日的9:00-18:00这段时间第 23页 / 共 4页Ruijie(config)#time-range WORK_TIMERuijie(config-time-range)#periodic ? Daily Every day of the week Friday Friday Monday Monday Saturday Saturday Sunday Sunday Thursday Thursday Tuesday Tuesday Wednesday Wednesday Weekdays Monday through Frid

24、ay Weekend Saturday and SundayRuijie(config-time-range)#periodic weekdays 9:00 to 18:第一章 访问控制列表（ACL）原理与配置基于时间的ACL可以实现某条ACE在只在某个时间段内生效配置思路 3.为ACL中的特定ACE关联定义好的时间段 当不在WORK_TIME定义的时间范围内，则所配置的两条ACE语句不生效第 24页 / 共 4页ip access-list extended OA 10 permit tcp any any eq www time-range WORK_TIME 20 deny ip any

25、 any time-range WORK_TIME 30 permit ip any 第一章 访问控制列表（ACL）原理与配置ACL配置的位置学习完了ACL，小锐明白了ACL工具的使用。在公司的实验室先自己模拟了一遍，确实有效果。但小锐想着想着突然有个问题，要实现技术部禁止访问财务部，可以在SW2上实现，也可以在SW1和SW3上实现，同时在接口上引用的时候，有in和out两个方向，这样排列组合下来，有很多种配置方法，到底哪种最好呢？还是都可以？小锐跟经理聊了这个问题，经理便找了个会议室，给小锐讲了讲ACL的应用位置。第 25页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部

26、技术部财务部财务部123123242421PC1PC2/24/第一章 访问控制列表（ACL）原理与配置ACL应用位置数据流分析 我们以技术部的PC1访问财务部的PC2为例，分析下他们的数据流。 PC1如果想要成功访问PC2，需要经过SW2、SW1以及SW3，最终到达PC2。 由于要完成一个完整的访问，数据必须有去有回，因此，必须还要有PC2的数据经过SW3、SW1、SW2最终回到PC1。 我们只要阻断这其中的任何一个步骤，就能阻断他们之间互相通讯。第 26页 / 共 4页二层交换机SW3二层交换机SW2三层交换机SW1技术部技术部财务部财务部123123242421PC1PC第一章 访问控制列表（ACL）原理与配置ACL应用位置既然有这么多位置都可以，那哪种最好呢？我们在下列三台交换机上任何一个位置都可以阻断技术部访问财务部，但是这里我们在SW2的in方向阻断最好。因为这个数据是要阻断的，就没有必要让其他设备浪费资源再去转发它。小锐挺然豁然开朗。经理却借着给小锐提了个问题，