神州數(shù)碼ACL原理和配置.ppt_第1頁
神州數(shù)碼ACL原理和配置.ppt_第2頁
神州數(shù)碼ACL原理和配置.ppt_第3頁
神州數(shù)碼ACL原理和配置.ppt_第4頁
神州數(shù)碼ACL原理和配置.ppt_第5頁
已閱讀5頁,還剩15頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

acl原理和配置,靳偉 dcn技術(shù)支持部,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,配置任務(wù)列表: 創(chuàng)建一個命名標(biāo)準(zhǔn)ip 訪問列表(最后隱含默認(rèn)是允許): 配置包過濾功能: (1)全局打開包過濾功能 (2)配置默認(rèn)動作(default action) 將accessl-list 綁定到特定端口的特定方向;,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,vlan 2,vlan 3,vlan 4,禁止vlan2的icmp數(shù)據(jù)報(bào)通過,并過濾掉某些端口,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,acl配置實(shí)例:,vlan 2 vlan 2 ! vlan 3 vlan 3 ! vlan 4 vlan 4 ! ip access-list extended test1 deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 permit tcp 10.1.157.76 0.0.0.0 0.0.0.0 255.255.255.255 d-port 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,firewall enable ! interface ethernet0/0/2 ip access-group test1 in switchport access vlan 2 interface ethernet0/0/3 switchport access vlan 2 interface ethernet0/0/4 switchport access vlan 3 interface ethernet0/0/5 switchport access vlan 3 interface ethernet0/0/6 switchport access vlan 4 interface ethernet0/0/7 switchport access vlan 4,命令:firewall enable | disable 功能:允許防火墻起作用或禁止防火墻起作用。 參數(shù):enable 表示允許防火墻起作用;disable 表示禁止防火墻起作用。 缺省情況:缺省為防火墻不起作用。 命令模式:全局配置模式 使用指南: 在允許和禁止防火墻時,都可以設(shè)置訪問規(guī)則。但只有在防火墻起作用時才可以將規(guī)則應(yīng)用至特定端口的特定方向上。使防火墻不起作用后將刪除端口上綁定的所有acl。,acl原理和配置 -適用于dcs-3926s,5526s,5512gc,命令解釋: 命令:firewall default permit | deny 功能:設(shè)置防火墻默認(rèn)動作。 參數(shù): permit 表示允許數(shù)據(jù)包通過;deny 表示拒絕數(shù)據(jù)包通過。 命令模式:全局配置模式 缺省情況:缺省動作為permit。 使用指南:此命令只影響端口入口方向的ip 包,其余情況下數(shù)據(jù)包均可通過交換機(jī),acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表(acl)是一種qos 策略,用來控制交換機(jī)或路由器端口對于數(shù)據(jù)包的允許或拒絕。訪問控制列表實(shí)際上是過濾列表,數(shù)據(jù)的類型使用策略條件定義(policy condition),策略行為(policy action)則決定允許或拒絕。 總體來說有3 類訪問控制列表: layer 2 acls:用來過濾mac 層數(shù)據(jù); layer 3/4 acls:用來過濾網(wǎng)路層數(shù)據(jù); multicast acl:用來過濾igmp 數(shù)據(jù)。,acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表參數(shù): 最大的策略規(guī)則數(shù)量2048 最大的策略條件(policy condition)數(shù)量2048 最大的策略行為(policy action)數(shù)量2048 最大的策略服務(wù)(policy service)數(shù)量256 最大的組(網(wǎng)絡(luò),mac,服務(wù),端口)數(shù)量1024 最大的組條目數(shù)量每組512 最大的流數(shù)量64000,acl原理和配置 -適用于dcrs-7200、7600,訪問控制列表默認(rèn)配置 屬性 命令 默認(rèn)取值 global橋接配置 qos default bridged disposition accept global路由配置 qos default routed disposition accept global 組播配置 qos default multicast disposition accept global 策略規(guī)則配置 policy rule disposition accept global 策略規(guī)則優(yōu)先 policy rule precedence 0(最低),acl原理和配置 -適用于dcrs-7200、7600,策略優(yōu)先 交換機(jī)對進(jìn)入交換機(jī)的數(shù)據(jù)流根據(jù)策略優(yōu)先進(jìn)行分類。優(yōu)先是根據(jù)規(guī)則的類型進(jìn)行分類的(layer 2 數(shù)據(jù)源,layer 2 數(shù)據(jù)目的或layer 3 數(shù)據(jù))。而且每條策略有從0 到65535 的優(yōu)先級。 當(dāng)1 條數(shù)據(jù)流到達(dá)交換機(jī)時,layer 2 數(shù)據(jù)源首先進(jìn)行匹配檢驗(yàn)。如果沒有匹配,進(jìn)行l(wèi)ayer 2 數(shù)據(jù)目的匹配。 如果還沒有匹配則進(jìn)行l(wèi)ayer 3 數(shù)據(jù)匹配。如果1 條數(shù)據(jù)流符合1 條以上的規(guī)則,優(yōu)先級決定哪條規(guī)則起作用。,acl原理和配置 -適用于dcrs-7200、7600,配置訪問控制列表通常有下列步驟: 設(shè)置global 配置: 默認(rèn)狀態(tài)下,不和任何策略匹配的數(shù)據(jù)流在交換機(jī)上允許。 global 命令包括: qos default bridged disposition qos default routed disposition qos default multicast disposition 改變global 默認(rèn)配置,使用相應(yīng)的命令,并在disposition 后面加上accept,drop 或deny。,acl原理和配置 -適用于dcrs-7200、7600,2. 創(chuàng)建過濾流量的策略條件: 單一策略條件:可以包括源ip 地址,目的ip 地址,源ip 端口或目的ip 端口,也可以包括網(wǎng)絡(luò)組,mac 組,端口組或服務(wù)組。 使用policy condition 命令創(chuàng)建策略條件,例如: - policy condition subnet source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 策略條件組:可使用group 關(guān)鍵字,這樣1 條策略條件可以過濾多個地址或端口。 - policy network group netgroup2 10.10.5.1 10.10.5.2 10.10.5.3 - policy condition cond2 source network group netgroup2,acl原理和配置 -適用于dcrs-7200、7600,3. 創(chuàng)建策略行為:允許或拒絕 使用policy action disposition 命令來創(chuàng)建策略行為,disposition 后面可以使用的關(guān)鍵字為accept 或deny; 如果用戶沒有指定行為,則默認(rèn)accept;,acl原理和配置 -適用于dcrs-7200、7600,4. 創(chuàng)建聯(lián)合策略條件和策略行為的策略規(guī)則: 策略規(guī)則由策略條件和策略行為組成 - policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 - policy action b1 disposition deny - policy rule c1 condition a1 action b1 輸入上述命令后,需要使用qos apply 命令啟用。,acl原理和配置 -適用于dcrs-7200、7600,4. 創(chuàng)建聯(lián)合策略條件和策略行為的策略規(guī)則(續(xù)): 反身規(guī)則(reflexive rules)單向訪問(只支持udp和tcp端口) 反身策略允許反向的數(shù)據(jù)流通過交換機(jī)返回,而通常這些數(shù)據(jù)流是被拒絕的。 例如:配置了2 條策略規(guī)則,規(guī)則rule2 丟棄掉所有目的地址是192.68.82.0 子網(wǎng)的流量,而規(guī)則rule2 則配置成反身規(guī)則,所以反向的數(shù)據(jù)流不會被丟棄。 - policy condition source1 source ip 192.68.82.0 mask 255.255.255.0 - policy condition dest1 destination ip 192.68.82.0 mask 255.255.255.0 - policy action permit disposition accept - policy action prevent disposition deny - policy rule rule1 condition source1 action permit reflexive - policy rule rule2 condition dest1 action prevent,acl原理和配置 -適用于dcrs-7200、7600,配置實(shí)例一:(禁止vlan1和vlan2之間的互訪,并且禁止在vlan1內(nèi)部pc之間的互訪) ! configuration: ! vlan : vlan 1 router ip 192.168.10.1 255.255.255.0 e2 vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.12.1 255.255.255.0 e2 vlan 2 port default 1/2 ! qos : qos classifyl3 bridged /檢查橋接數(shù)據(jù)包的三層信息/ policy condition a1 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.12.0 mask 255.255.255.0 policy condition a2 source ip 192.168.10.0 mask 255.255.255.0 destination ip 192.168.10.0 mask 255.255.255.0 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -適用于dcrs-7200、7600,配置實(shí)例二:(禁止vlan2訪問tcp的135139端口,并且在交換機(jī)上禁止icmp數(shù)據(jù)通過) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy service kkk destination tcp port 135-139 policy condition a1 source ip 192.168.2.0 mask 255.255.255.0 destination tcp port 135-139 policy condition a2 ip protocol 1 policy action b1 disposition deny policy rule c1 condition a1 action b1 policy rule c2 condition a2 action b1 qos apply,acl原理和配置 -適用于dcrs-7200、7600,配置實(shí)例三:(單向訪問,vlan2可以訪問vlan3,擔(dān)vlan3不能訪問vlan2。 請驗(yàn)證此時vlan2是否可以ping同vlan3?) ! configuration: ! vlan : vlan 2 enable name “vlan 2“ vlan 2 router ip 192.168.2.1 255.255.255.0 e2 vlan 2 port default 1/1 vlan 2 port default 1/2 vlan 3 enable name “vlan 3“ vlan 3 router ip 192.168.3.1 255.255.255.0 e2 vlan 3 port default 1/5 vlan 3 port default 1/6 ! qos : policy co

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論