访问控制列表ACL访问控制列表•配置任务列表:•创建一个命名标准IP访问列表(最后隐含默认是允许):•配置包过滤功能:–(1)全局打开包过滤功能–(2)配置默认动作(defaultaction)•将accessl-list绑定到特定端口的特定方向;ACL配置•ACL介绍•ACL(AccessControlLists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。Access-list•Access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准,access-list可以有如下分类:•根据过滤信息:–ipaccess-list(三层以上信息)–macaccess-list(二层信息)–mac-ipaccess-list(二层以上信息)–当前只支持ipaccess-list,其余两种将在以后提供。•根据配置的复杂程度:–标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。•根据命名方式:–数字(numbered)和命名(named)。•对一条ACL的说明应当从这三个方面加以描述。Access-group•当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。Access-list动作及全局默认动作•Access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过(deny)。具体有如下:–在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。–全局默认动作只对端口入口方向的IP包有效。对入口的非IP数据包以及出口的所有数据包,其默认转发动作均为允许通过(permit)。–只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。ACL配置任务序列•1.配置access-list–(1)配置数字标准IP访问列表–(2)配置数字扩展IP访问列表–(3)配置命名标准IP访问列表•a)创建一个命名标准IP访问列表•b)指定多条permit或deny规则表项•c)退出访问表配置模式–(4)配置命名扩展IP访问列表•a)创建一个命名扩展IP访问列表•b)指定多条permit或deny规则表项•c)退出访问表配置模式–(5)配置数字标准MAC访问列表–(6)配置数字扩展MAC访问列表–(7)配置命名扩展MAC访问列表•a)创建一个命名扩展MAC访问列表•b)指定多条permit或deny规则表项•c)退出MAC访问表配置模式–(8)配置数字扩展MAC-IP访问列表–(9)配置命名扩展MAC-IP访问列表•a)创建一个命名扩展MAC-IP访问列表•b)指定多条permit或deny规则表项•c)退出MAC-IP访问表配置模式ACL配置任务序列•2.配置包过滤功能–(1)全局打开包过滤功能–(2)配置默认动作(defaultaction)•3.配置时间范围功能–(1)创建时间范围名称–(2)配置周期性时段–(3)配置绝对性时段•4.将accessl-list绑定到特定端口的特定方向•5.清空指定接口的包过滤统计信息配置数字标准IP访问列表•access-listnum{deny|permit}{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}•noaccess-listnum配置数字扩展IP访问列表access-listnum{deny|permit}icmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[icmp-type[icmp-code]][precedenceprec][tostos]创建一条icmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}igmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[igmp-type][precedenceprec][tostos]创建一条igmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}tcp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}[sPortsPort]{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[dPortdPort][ack|fin|psh|rst|syn|urg][precedenceprec][tostos]创建一条tcp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}udp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}[sPortsPort]{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[dPortdPort][precedenceprec][tostos]创建一条udp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}{eigrp|gre|igrp|ipinip|ip|int}{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[precedenceprec][tostos]创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。noaccess-listnum删除一条数字扩展IP访问列表。配置命名标准IP访问列表•创建一个命名标准IP访问列表–ipaccessstandardname–noipaccessstandardname•指定多条permit或deny规则–[no]{deny|permit}{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}•退出命名标准IP访问列表配置模式–Exit创建一个命名扩展IP访问列表•创建一个命名扩展IP访问列表–ipaccessextendedname–noipaccessextendedname•指定多条permit或deny规则–见下页•退出命名扩展IP访问列表配置模式–Exit指定多条permit或deny规则[no]{deny|permit}icmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[icmp-type[icmp-code]][precedenceprec][tostos]创建一条icmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。[no]{deny|permit}igmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[igmp-type][precedenceprec][tostos]创建一条igmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。[no]{deny|permit}tcp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}[sPortsPort]{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[dPortdPort][ack|fin|psh|rst|syn|urg][precedenceprec][tostos]创建一条tcp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。[no]{deny|permit}udp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}[sPortsPort]{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[dPortdPort][precedenceprec][tostos]创建一条udp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|int}{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[precedenceprec][tostos]创建一条其他IP协议的命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。开启访问控制列表功能•firewallenable–命令:firewall{enable|disable}–功能:允许防火墙起作用或禁止防火墙起作用。–参数:•enable表示允许防火墙起作用;•disable表示禁止防火墙起作用。–缺省情况:缺省为防火墙不起作用。–命令模式:全局配置模式–使用指南:在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有ACL。配置默认动作•fi