神州數(shù)碼ACL原理和配置.ppt

acl原理和配置,靳偉 dcn技術支持部,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,配置任務列表： 創(chuàng)建一個命名標準ip 訪問列表(最后隱含默認是允許): 配置包過濾功能: （1）全局打開包過濾功能 （2）配置默認動作(default action) 將accessl-list 綁定到特定端口的特定方向;,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,vlan 2,vlan 3,vlan 4,禁止vlan2的icmp數(shù)據(jù)報通過，并過濾掉某些端口,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,acl配置實例:,vlan 2 vlan 2 ! vlan 3 vlan 3 ! vlan 4 vlan 4 ! ip access-list extended test1 deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 permit tcp 10.1.157.76 0.0.0.0 0.0.0.0 255.255.255.255 d-port 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,firewall enable ! interface ethernet0/0/2 ip access-group test1 in switchport access vlan 2 interface ethernet0/0/3 switchport access vlan 2 interface ethernet0/0/4 switchport access vlan 3 interface ethernet0/0/5 switchport access vlan 3 interface ethernet0/0/6 switchport access vlan 4 interface ethernet0/0/7 switchport access vlan 4,命令：firewall enable | disable 功能：允許防火墻起作用或禁止防火墻起作用。 參數(shù)：enable 表示允許防火墻起作用；disable 表示禁止防火墻起作用。 缺省情況：缺省為防火墻不起作用。 命令模式：全局配置模式 使用指南： 在允許和禁止防火墻時，都可以設置訪問規(guī)則。但只有在防火墻起作用時才可以將規(guī)則應用至特定端口的特定方向上。使防火墻不起作用后將刪除端口上綁定的所有acl。,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,命令解釋: 命令：firewall default permit | deny 功能：設置防火墻默認動作。 參數(shù)： permit 表示允許數(shù)據(jù)包通過；deny 表示拒絕數(shù)據(jù)包通過。 命令模式：全局配置模式 缺省情況：缺省動作為permit。 使用指南：此命令只影響端口入口方向的ip 包，其余情況下數(shù)據(jù)包均可通過交換機,acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表（acl）是一種qos 策略，用來控制交換機或路由器端口對于數(shù)據(jù)包的允許或拒絕。訪問控制列表實際上是過濾列表，數(shù)據(jù)的類型使用策略條件定義（policy condition），策略行為（policy action）則決定允許或拒絕。 總體來說有3 類訪問控制列表： layer 2 acls：用來過濾mac 層數(shù)據(jù)； layer 3/4 acls：用來過濾網(wǎng)路層數(shù)據(jù)； multicast acl：用來過濾igmp 數(shù)據(jù)。,acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表參數(shù): 最大的策略規(guī)則數(shù)量2048 最大的策略條件（policy condition）數(shù)量2048 最大的策略行為（policy action）數(shù)量2048 最大的策略服務（policy service）數(shù)量256 最大的組（網(wǎng)絡，mac，服務，端口）數(shù)量1024 最大的組條目數(shù)量每組512 最大的流數(shù)量64000,acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表默認配置 屬性 命令 默認取值 global橋接配置 qos default bridged disposition accept global路由配置 qos default routed disposition accept global 組播配置 qos default multicast disposition accept global 策略規(guī)則配置 policy rule disposition accept global 策略規(guī)則優(yōu)先 policy rule precedence 0（最低）,acl原理和配置 -適用于dcrs-7200、7600,策略優(yōu)先 交換機對進入交換機的數(shù)據(jù)流根據(jù)策略優(yōu)先進行分類。優(yōu)先是根據(jù)規(guī)則的類型進行分類的（layer 2 數(shù)據(jù)源，layer 2 數(shù)據(jù)目的或layer 3 數(shù)據(jù)）。而且每條策略有從0 到65535 的優(yōu)先級。 當1 條數(shù)據(jù)流到達交換機時，layer 2 數(shù)據(jù)源首先進行匹配檢驗。如果沒有匹配，進行l(wèi)ayer 2 數(shù)據(jù)目的匹配。 如果還沒有匹配則進行l(wèi)ayer 3 數(shù)據(jù)匹配。如果1 條數(shù)據(jù)流符合1 條以上的規(guī)則，優(yōu)先級決定哪條規(guī)則起作用。,acl原理和配置 -適用于dcrs-7200、7600,配置訪問控制列表通常有下列步驟： 設置global 配置: 默認狀態(tài)下，不和任何策略匹配的數(shù)據(jù)流在交換機上允許。 global 命令包括： qos default bridged disposition qos default routed disposition qos default multicast disposition 改變global 默認配置，使用相應的命令，并在disposition 后面加上accept，drop 或deny。,acl原理和配置 -適用于dcrs-7200、7600,2. 創(chuàng)建過濾流量的策略條件: 單一策略條件：可以包括源ip 地址，目的ip 地址，源ip 端口或目的ip 端口，也可以包括網(wǎng)絡組，mac 組，端口組或服務組。 使用policy condition 命令創(chuàng)建策略條件，例如： - policy condition subnet source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 策略條件組：可使用group 關鍵字，這樣1 條策略條件可以過濾多個地址或端口。 - policy network group netgroup2 10.10.5.1 10.10.5.2 10.10.5.3 - policy condition cond2 source network group netgroup2,acl原理和配置 -適用于dcrs-7200、7600,3. 創(chuàng)建策略行為：允許或拒絕 使用policy action disposition 命令來創(chuàng)建策略行為，disposition 后面可以使用的關鍵字為accept 或deny； 如果用戶沒有指定行為，則默認accept；,acl原理和配置 -適用于dcrs-7200、7600,4. 創(chuàng)建聯(lián)合策略條件和策略行為的策略規(guī)則： 策略規(guī)則由策略條件和策略行為組成 - policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 - policy action b1 disposition deny - policy rule c1 condition a1 action b1 輸入上述命令后，需要使用qos apply 命令啟用。,acl原理和配置 -適用于dcrs-7200、7600,4. 創(chuàng)建聯(lián)合策略條件和策略行為的策略規(guī)則(續(xù))： 反身規(guī)則（reflexive rules）單向訪問（只支持udp和tcp端口） 反身策略允許反向的數(shù)據(jù)流通過交換機返回，而通常這些數(shù)據(jù)流是被拒絕的。 例如：配置了2 條策略規(guī)則，規(guī)則rule2 丟棄掉所有目的地址是192.68.82.0 子網(wǎng)的流量，而規(guī)則rule2 則配置成反身規(guī)則，所以反向的數(shù)據(jù)流不會被丟棄。 - policy condition source1 source ip 192.68.82.0 mask 255.255.255.0 - policy condition dest1 destination ip 192.68.82.0 mask 255.255.255.0 - policy action permit disposition accept - policy action prevent disposition deny - policy rule rule1 condition source1 action permit reflexive - policy rule rule2 condition dest1 action prevent,acl原理和配置 -適用于dcrs-7200、7600,配置實例一：(禁止vlan1和vlan2之間的互訪，并且禁止在vlan1內(nèi)部pc之間的互訪) ! configuration: ! vlan : vlan 1 router ip 192.168.10.1 255.255.255.0 e2 vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.12.1 255.255.255.0 e2 vlan 2 port default 1/2 ! qos : qos classifyl3 bridged /檢查橋接數(shù)據(jù)包的三層信息/ policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 policy condition a2 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.10.0 mask 255.255.255.0 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -適用于dcrs-7200、7600,配置實例二：(禁止vlan2訪問tcp的135139端口，并且在交換機上禁止icmp數(shù)據(jù)通過) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy service kkk destination tcp port 135-139 policy condition a1 source ip 192.168.2.0 mask 255.255.255.0 destination tcp port 135-139 policy condition a2 ip protocol 1 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -適用于dcrs-7200、7600,配置實例三：(單向訪問，vlan2可以訪問vlan3，擔vlan3不能訪問vlan2。 請驗證此時vlan2是否可以ping同vlan3？) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy co