三层交换机访问控制列表ACL的配置

企业网综合实战三层交换机访问列表ACL的配置企业网综合实战ACL是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。ACL是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，ACL可以有如下分类：根据过滤信息：ipaccess-list（三层以上信息），macaccess-list（二层信息），mac-ipaccess-list（二层以上信息）。根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。根据命名方式：数字(numbered)和命名(named)企业网综合实战IPACL（1）配置数字标准IP访问列表（2）配置数字扩展IP访问列表（3）配置命名标准IP访问列表（4）配置命名扩展IP访问列表MACACL（1）配置数字标准MAC访问列表（2）配置数字扩展MAC访问列表（3）配置命名扩展MAC访问列表MAC-IP（1）配置数字扩展MAC-IP访问列表（2）配置命名扩展MAC-IP访问列表企业网综合实战IP访问列表类型命名标准IP访问列表命名扩展IP访问列表数字标准IP访问列表数字扩展IP访问列表基于时间的访问列表企业网综合实战配置命名标准IP访问列表的步骤创建一个命名标准IP访问列表指定多条permit或deny规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口企业网综合实战创建一个命名标准IP访问列表命令：ipaccess-liststandardname说明：name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。举例：创建一个名为test的标准IP访问列表ipaccess-liststandardtest企业网综合实战指定多条permit或deny规则命令：deny|permit{sIpAddrsMask}|any-source|{host-sourcesIpAddr}说明：sIpAddr为源IP地址，sMask为源IP的反掩码。举例：允许源地址为192.168.10.0/24的数据包通过，拒绝源地址为192.168.20.1的数据包通过。Permit192.168.10.00.0.0.255Denyhost-source192.168.20.1企业网综合实战开启交换机的包过滤功能相关命令：Firewallenable作用：开启交换机的包过滤功能（即防火墙功能）Firewalldisable作用：关闭交换机的包过滤功能说明在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上；使防火墙不起作用后将删除端口上绑定的所有ACL。企业网综合实战设置包过滤的默认动作相关命令：Firewalldefaultpermit作用：设置其默认动作为允许Firewalldefaultdeny作用：设置其默认动作为拒绝说明此命令只影响端口入口方向的IP包，其余情况下数据包均可通过交换机。企业网综合实战将访问列表应用到指定端口命令：InterfaceinterfaceIpaccess-groupaccess-list-namein|out作用：在端口的某个方向上应用一条access-list说明一个端口可以绑定一条入口规则和一条出口规则；ACL绑定到出口时只能包含deny规则；如果是堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。企业网综合实战总结：对ACL中的表项的检查是自上而下的，只要匹配一条表项，对此ACL的检查就马上结束。端口特定方向上没有绑定ACL或没有任何ACL表项匹配时，才会使用默认规则。每个端口入口和出口可以各绑定一条IPACL。当一条ACL被绑定到端口出口方向时，只能包含deny表项。可以配置ACL拒绝某些ICMP报文通过以防止“冲击波”等病毒攻击。对于堆叠交换机，则只能在入口绑定ACL，不能在出口绑定ACL。企业网综合实战标准访问列表应用举例要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。企业网综合实战switch#confSwitch(config)#ipaccess-liststandardpc1toserver1#denyhost-source192.168.10.1#exit#inte0/0/23#ipaccess-grouppc1toserver1outSwitch(config)#ipaccess-liststandardpc1toserver2#denyhost-source192.168.10.1#exit#inte0/0/24#ipaccess-grouppc1toserver2out企业网综合实战配置命名扩展IP访问列表的步骤创建一个命名扩展IP访问列表指定多条permit或deny规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口企业网综合实战创建一个命名扩展IP访问列表命令：ipaccess-listextendedname说明：name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。举例：创建一个名为test的扩展IP访问列表ipaccess-listextendedtest企业网综合实战指定多条permit或deny规则命令（过滤ICMP数据包）：deny|permiticmpsIpAddrsMask|any-source|host-sourcesIpAddrdIpAddrdMask}|any-destination|host-destinationdIpAddr[icmp-type[icmp-code]][precedenceprec][tostos][time–rangetime-range-name]说明icmp-type，icmp的类型，0－255；icmp-code，icmp的协议编号，0－255；prec，IP优先级，0－7；tos，tos值，0-15time-range-name，时间范围名称。企业网综合实战指定多条permit或deny规则命令（过滤IGMP数据包）：deny|permitigmpsIpAddrsMask|any-source|{host-sourcesIpAddrdIpAddrdMask|any-destination|host-destinationdIpAddr[igmp-type][precedenceprec][tostos][time-rangetime-range-name]说明igmp-type，igmp的类型，0---255企业网综合实战指定多条permit或deny规则命令（过滤TCP数据包）：deny|permittcpsIpAddrsMask|any-source|host-sourcesIpAddr[sPortsPort]dIpAddrdMask|any-destination|host-destinationdIpAddr[dPortdPort][ack+fin+psh+rst+urg+syn][precedenceprec][tostos][time-rangetime-range-name]说明sPort，源端口号，0-65535；dPort，目的端口号，0-65535。企业网综合实战指定多条permit或deny规则命令（过滤UDP数据包）：deny|permitudpsIpAddrsMask|any-source|host-sourcesIpAddr[sPortsPort]dIpAddrdMask|any-destination|host-destinationdIpAddr[dPortdPort][precedenceprec][tostos][time-rangetime-range-name]企业网综合实战指定多条permit或deny规则命令（过滤IP等数据包）：deny|permiteigrp|gre|igrp|ipinip|ip|intsIpAddrsMask|any-source|host-sourcesIpAddrdIpAddrdMask|any-destination|host-destinationdIpAddr[precedenceprec][tostos][time–rangetime-range-name]企业网综合实战举例：创建名为udpFlow的扩展访问列表。拒绝igmp报文通过，允许目的地址为192.168.0.1、目的端口为32的udp包通过。#ipaccess-listextendedudpFlow#denyigmpany-sourceany-destination#permitudpany-sourcehost-destination192.168.0.1dPort32企业网综合实战命名扩展IP访问列表应用举例要求：1.允许PC1访问server的Telnet服务，但不能ping通它；2.拒绝PC2访问server的Telnet服务，但能ping通它。企业网综合实战在5526交换机上进行配置Ipaccess-listextendedpc1toserverPermittcp192.168.100.00.0.0.255host-destination192.168.10.254dport23Denyicmphost-source192.168.100.1host-destination192.168.10.254Ipaccess-listextendedpc2toserverdenyicmphost-source192.168.200.1host-destination192.168.10.254Permittcphost-source192.168.100.1host-destination192.168.10.254FirewallenableFirewalldefaultpermitInterfacee0/0/1Ipaccess-grouppc1toserverinInterfacee0/0/2Ipaccess-grouppc2toserverin企业网综合实战配置数字标准IP访问列表的步骤创建一个数字标准IP访问列表，并指定permit或deny规则开启交换机的包过滤功能，并设置其默认动作将访问列表应用到指定端口企业网综合实战创建一个数字标准IP访问列表命令：access-listnumdeny|permit{sIpAddrsMask}|any-source|{host-sourcesIpAddr}说明：num为访问列表的数字编号，取值1—99。sIpAddr为源IP地址，sMask为源IP的反掩码。如果已有此访问列表，则增加一条规则。举例：创建一个编号为1的标准IP访问列表，允许192.168.1.0网段的数据通过。access-list1permit192.168.1.00.0.0.255企业网综合实战数字标准访问列表应用举例要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。PC1接在