三層交換機訪問控制列表ACL配置

1、企業(yè)網(wǎng)綜合實戰(zhàn)三層交換機三層交換機訪問列表訪問列表ACLACL的配置的配置企業(yè)網(wǎng)綜合實戰(zhàn)ACL 是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運行。全運行。ACL 是一個有序的語句集，每一條語句對應(yīng)一條特定的規(guī)則是一個有序的語句集，每一條語句對應(yīng)一條特定的規(guī)則(rule)。每條每條rule包括了過濾信息及匹配此包括了過濾信息及匹配此rule時應(yīng)采取的動作。時應(yīng)采取的動作。Rule包含包含的信息可以包括源的信息可以包括源M

2、AC、目的、目的MAC、源、源IP、目的、目的IP、IP協(xié)議號、協(xié)議號、tcp端口等條件的有效組合。端口等條件的有效組合。根據(jù)不同的標(biāo)準(zhǔn)，根據(jù)不同的標(biāo)準(zhǔn)，ACL可以有如下分類：可以有如下分類： 根據(jù)過濾信息：根據(jù)過濾信息：ip access-list （三層以上信息），（三層以上信息），mac access-list （二（二層信息），層信息），mac-ip access-list （二層以上信息）。（二層以上信息）。 根據(jù)配置的復(fù)雜程度：標(biāo)準(zhǔn)根據(jù)配置的復(fù)雜程度：標(biāo)準(zhǔn)(standard)和擴展和擴展(extended)，擴展方式可，擴展方式可以指定更加細(xì)致過濾信息。以指定更加細(xì)致過濾信息。 根

3、據(jù)命名方式：數(shù)字根據(jù)命名方式：數(shù)字(numbered)和命名和命名(named)企業(yè)網(wǎng)綜合實戰(zhàn)IP ACL（1）配置數(shù)字標(biāo)準(zhǔn)）配置數(shù)字標(biāo)準(zhǔn)IP 訪問列表訪問列表（2）配置數(shù)字?jǐn)U展）配置數(shù)字?jǐn)U展IP 訪問列表訪問列表（3）配置命名標(biāo)準(zhǔn)）配置命名標(biāo)準(zhǔn)IP 訪問列表訪問列表（4） 配置命名擴展配置命名擴展IP 訪問列表訪問列表MAC ACL（1）配置數(shù)字標(biāo)準(zhǔn)）配置數(shù)字標(biāo)準(zhǔn)MAC 訪問列表訪問列表（2）配置數(shù)字?jǐn)U展）配置數(shù)字?jǐn)U展MAC 訪問列表訪問列表（3）配置命名擴展）配置命名擴展MAC 訪問列表訪問列表MAC-IP（1）配置數(shù)字?jǐn)U展）配置數(shù)字?jǐn)U展MAC-IP 訪問列表訪問列表（2）配置命名擴展）配

4、置命名擴展MAC-IP 訪問列表訪問列表企業(yè)網(wǎng)綜合實戰(zhàn)IP 訪問列表類型訪問列表類型命名標(biāo)準(zhǔn)命名標(biāo)準(zhǔn)IP IP 訪問列表訪問列表命名擴展命名擴展IP IP 訪問列表訪問列表數(shù)字?jǐn)?shù)字標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP IP 訪問列表訪問列表數(shù)字?jǐn)U展數(shù)字?jǐn)U展IP IP 訪問列表訪問列表基于時間的訪問列表基于時間的訪問列表企業(yè)網(wǎng)綜合實戰(zhàn)配置命名標(biāo)準(zhǔn)配置命名標(biāo)準(zhǔn)IP訪問列表的步驟訪問列表的步驟創(chuàng)建一個命名標(biāo)準(zhǔn)創(chuàng)建一個命名標(biāo)準(zhǔn)IP 訪問列表訪問列表 指定多條指定多條permit 或或deny 規(guī)則規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定

5、端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建一個命名標(biāo)準(zhǔn)創(chuàng)建一個命名標(biāo)準(zhǔn)IP 訪問列表訪問列表命令：命令：ip access-list standard 說明：說明： name為訪問列表的名字，字符串長度為為訪問列表的名字，字符串長度為116個個字符，第一個字符不能為數(shù)字。字符，第一個字符不能為數(shù)字。舉例：創(chuàng)建一個名為舉例：創(chuàng)建一個名為test的標(biāo)準(zhǔn)的標(biāo)準(zhǔn)IP訪問列表訪問列表ip access-list standard test 企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令：命令：deny | permit | any-source | host-source 說明：說明： sIpAdd

6、r為源為源IP地址，地址，sMask為源為源IP的反掩碼。的反掩碼。舉例：允許源地址為舉例：允許源地址為/24的數(shù)據(jù)包通過，拒的數(shù)據(jù)包通過，拒絕源地址為絕源地址為的數(shù)據(jù)包通過。的數(shù)據(jù)包通過。Permit 55 Deny host-source 企業(yè)網(wǎng)綜合實戰(zhàn)開啟交換機的包過濾功能開啟交換機的包過濾功能相關(guān)命令：相關(guān)命令：Firewall enable 作用：開啟交換機的包過濾功能（即防火墻功能）作用：開啟交換機的包過濾功能（即防火墻功能）Firewall disable 作用：關(guān)閉交

7、換機的包過濾功能作用：關(guān)閉交換機的包過濾功能說明說明在允許和禁止防火墻時，都可以設(shè)置訪問規(guī)則。但只有在防在允許和禁止防火墻時，都可以設(shè)置訪問規(guī)則。但只有在防火墻起作用時才可以將規(guī)則應(yīng)用至特定端口的特定方向上；火墻起作用時才可以將規(guī)則應(yīng)用至特定端口的特定方向上；使防火墻不起作用后將刪除端口上綁定的所有使防火墻不起作用后將刪除端口上綁定的所有ACL。企業(yè)網(wǎng)綜合實戰(zhàn)設(shè)置包過濾的默認(rèn)動作設(shè)置包過濾的默認(rèn)動作相關(guān)命令：相關(guān)命令：Firewall default permit 作用：設(shè)置其默認(rèn)動作為允許作用：設(shè)置其默認(rèn)動作為允許Firewall default deny 作用：設(shè)置其默認(rèn)動作為拒絕作用：設(shè)

8、置其默認(rèn)動作為拒絕說明說明此命令只影響端口入口方向的此命令只影響端口入口方向的IP 包，其余情況包，其余情況下數(shù)據(jù)包均可通過交換機。下數(shù)據(jù)包均可通過交換機。企業(yè)網(wǎng)綜合實戰(zhàn)將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口命令：命令：Interface Ip access-group in|out作用：在端口的某個方向上應(yīng)用一條作用：在端口的某個方向上應(yīng)用一條access-list 說明說明一個端口可以綁定一條入口規(guī)則和一條出口規(guī)則；一個端口可以綁定一條入口規(guī)則和一條出口規(guī)則；ACL 綁定到出口時只能包含綁定到出口時只能包含deny 規(guī)則；規(guī)則；如果是堆疊交換機，則只能在入口綁定如果是堆疊交換機，

9、則只能在入口綁定ACL，不能在出口，不能在出口綁定綁定ACL。企業(yè)網(wǎng)綜合實戰(zhàn) 總結(jié)：總結(jié)：對對ACL 中的表項的檢查是自上而下的，只要匹配一條表項，中的表項的檢查是自上而下的，只要匹配一條表項，對此對此ACL 的檢查就馬上結(jié)束。的檢查就馬上結(jié)束。端口特定方向上沒有綁定端口特定方向上沒有綁定ACL 或沒有任何或沒有任何ACL 表項匹配時，表項匹配時，才會使用默認(rèn)規(guī)則。才會使用默認(rèn)規(guī)則。每個端口入口和出口可以各綁定一條每個端口入口和出口可以各綁定一條IP ACL 。當(dāng)一條當(dāng)一條ACL 被綁定到端口出口方向時，只能包含被綁定到端口出口方向時，只能包含deny 表項。表項。可以配置可以配置ACL 拒絕

10、某些拒絕某些ICMP 報文通過以防止報文通過以防止“沖擊波沖擊波”等等病毒攻擊。病毒攻擊。對于堆疊交換機，則只能在入口綁定對于堆疊交換機，則只能在入口綁定ACL，不能在出口綁定，不能在出口綁定ACL。企業(yè)網(wǎng)綜合實戰(zhàn)標(biāo)準(zhǔn)訪問列表應(yīng)用舉例標(biāo)準(zhǔn)訪問列表應(yīng)用舉例要求：要求：PC1()不能訪問服務(wù)器不能訪問服務(wù)器server1()和和server2()， PC2()可以訪問?？梢栽L問。 PC1接在端口接在端口1上，上， PC2接在端口接在端口2上；上；server1接在端口接在端口23上，上， server2

11、接在端口接在端口24上。上。企業(yè)網(wǎng)綜合實戰(zhàn)switch#confSwitch(config)# ip access-list standard pc1toserver1 # deny host-source #exit #int e0/0/23 #ip access-group pc1toserver1 outSwitch(config)# ip access-list standard pc1toserver2 # deny host-source #exit #int e0/0/24 #ip access-group pc1toserve

12、r2 out企業(yè)網(wǎng)綜合實戰(zhàn)配置命名擴展配置命名擴展IP訪問列表的步驟訪問列表的步驟創(chuàng)建一個命名擴展創(chuàng)建一個命名擴展IP 訪問列表訪問列表 指定多條指定多條permit 或或deny 規(guī)則規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建一個命名擴展創(chuàng)建一個命名擴展IP 訪問列表訪問列表命令：命令：ip access-list extended 說明：說明： name為訪問列表的名字，字符串長度為為訪問列表的名字，字符串長度為116個個字符，第一個字符不能為數(shù)字。字符，第一個字符不能為數(shù)字。舉例

13、：創(chuàng)建一個名為舉例：創(chuàng)建一個名為test的擴展的擴展IP訪問列表訪問列表ip access-list extended test 企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令（過濾命令（過濾ICMP數(shù)據(jù)包）數(shù)據(jù)包） ：deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time range 說明說明，icmp 的類型，的類型，0255；，icmp 的協(xié)議編號，的協(xié)議編號，0255；，IP 優(yōu)先級，優(yōu)先級，07；，tos 值，值

14、，0-15time-range-name ，時間范圍名稱。，時間范圍名稱。企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令（過濾命令（過濾IGMP數(shù)據(jù)包）數(shù)據(jù)包） ：deny | permit igmp | any-source | host-source | any-destination | host-destination precedence tos time-range 說明說明，igmp 的類型，的類型，0-255企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令（過濾命令（過濾TCP數(shù)據(jù)包）數(shù)據(jù)包） ：deny | permit tcp

15、| any-source | host-source sPort | any-destination |host-destination dPort ack+fin+psh+rst+urg+syn precedence tos time -range 說明說明，源端口號，源端口號，0-65535；，目的端口號，目的端口號，0-65535。企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令（過濾命令（過濾UDP數(shù)據(jù)包）數(shù)據(jù)包） ：deny | permit udp | any-source | host-source sPort | any-destination |host

16、-destination dPort precedence tos time -range 企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令（過濾命令（過濾IP等數(shù)據(jù)包）等數(shù)據(jù)包） ：deny | permit eigrp | gre | igrp | ipinip | ip | | any-source | host-source | any-destination | host-destination precedence tos time range 企業(yè)網(wǎng)綜合實戰(zhàn)舉例：創(chuàng)建名為舉例：創(chuàng)建名為udpFlow的擴展訪問列表。拒絕的擴展訪問列表。拒絕igmp 報文通報文

17、通過，允許目的地址為過，允許目的地址為 、目的端口為、目的端口為32 的的udp 包通包通過。過。 #ip access-list extended udpFlow #deny igmp any-source any-destination #permit udp any-source host-destination dPort 32 企業(yè)網(wǎng)綜合實戰(zhàn)命名擴展命名擴展IP訪問列表應(yīng)用舉例訪問列表應(yīng)用舉例要求：要求：允許允許PC1訪問訪問server的的Telnet服務(wù)，但不能服務(wù)，但不能ping通它；通它；1. 拒絕拒絕PC2訪問訪問server的

18、的Telnet服務(wù)，但能服務(wù)，但能ping通它。通它。企業(yè)網(wǎng)綜合實戰(zhàn)在在5526交換機上進(jìn)行配置交換機上進(jìn)行配置Ip access-list extended pc1toserverPermit tcp 55 host-destination 54 dport 23Deny icmp host-source host-destination 54 Ip access-list extended pc2toserverdeny icmp host-source 192.168.2

19、00.1 host-destination 54Permit tcp host-source host-destination 54 Firewall enableFirewall default permitInterface e0/0/1Ip access-group pc1toserver inInterface e0/0/2Ip access-group pc2toserver in企業(yè)網(wǎng)綜合實戰(zhàn)配置數(shù)字標(biāo)準(zhǔn)配置數(shù)字標(biāo)準(zhǔn)IP訪問列表的步驟訪問列表的步驟創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)IP 訪問列表，并指定訪問列

20、表，并指定permit 或或deny 規(guī)則規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)IP 訪問列表訪問列表命令：命令：access-list deny | permit | any-source | host-source 說明：說明： num為訪問列表的數(shù)字編號，取值為訪問列表的數(shù)字編號，取值199。sIpAddr為源為源IP地址，地址，sMask為源為源IP的反掩碼。的反掩碼。如果已有此訪問列表，則增加一條規(guī)則。如果已有此訪問列表，則增加一條規(guī)則。舉例：

21、創(chuàng)建一個編號為舉例：創(chuàng)建一個編號為1的標(biāo)準(zhǔn)的標(biāo)準(zhǔn)IP訪問列表，允許訪問列表，允許網(wǎng)段的數(shù)據(jù)通過。網(wǎng)段的數(shù)據(jù)通過。access-list 1 permit 55 企業(yè)網(wǎng)綜合實戰(zhàn)數(shù)字標(biāo)準(zhǔn)訪問列表應(yīng)用舉例數(shù)字標(biāo)準(zhǔn)訪問列表應(yīng)用舉例要求：要求：PC1()不能訪問服務(wù)器不能訪問服務(wù)器server1()和和server2()， PC2()可以訪問?？梢栽L問。 PC1接在端口接在端口1上，上， PC2接在端口接在端口2上；上；server1接在端口接在端口

22、23上，上， server2接在端口接在端口24上。上。企業(yè)網(wǎng)綜合實戰(zhàn)switch#confSwitch(config)# access-list 1 deny host-source #exit #int e0/0/23 #ip access-group 1 outSwitch(config)#access-list 2 deny host-source #exit #int e0/0/24 #ip access-group 2 out企業(yè)網(wǎng)綜合實戰(zhàn)配置數(shù)字?jǐn)U展配置數(shù)字?jǐn)U展IP訪問列表的步驟訪問列表的步驟創(chuàng)建一個數(shù)字?jǐn)U展創(chuàng)建一個數(shù)字?jǐn)U展IP

23、 訪問列表，并指定訪問列表，并指定permit 或或deny 規(guī)則規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)創(chuàng)建一個數(shù)字標(biāo)準(zhǔn)IP 訪問列表訪問列表命令：命令：access-list deny | permit 說明：說明： num為訪問列表的數(shù)字編號，取值為訪問列表的數(shù)字編號，取值100199。sIpAddr為源為源IP地址，地址，sMask為源為源IP的反掩碼。的反掩碼。如果已有此訪問列表，則增加一條規(guī)則。如果已有此訪問列表，則增加一條規(guī)則。舉例：創(chuàng)建一個編號為舉例：創(chuàng)建

24、一個編號為101的擴展的擴展IP訪問列表，允許訪問列表，允許網(wǎng)段的主機訪問網(wǎng)段的主機訪問ftp服務(wù)器服務(wù)器。access-list 101 permit tcp 55 host-destination dport 21 企業(yè)網(wǎng)綜合實戰(zhàn)數(shù)字?jǐn)U展數(shù)字?jǐn)U展IP訪問列表應(yīng)用舉例訪問列表應(yīng)用舉例要求：要求：允許允許PC1訪問訪問server的的Telnet服務(wù)，但不能服務(wù)，但不能ping通它；通它；1. 拒絕拒絕PC2訪問訪問server的的Telnet服務(wù)，但能服務(wù)，但能ping通它。通它。企業(yè)網(wǎng)綜合

25、實戰(zhàn)在在5526交換機上進(jìn)行配置交換機上進(jìn)行配置access-list 101 permit tcp 55 host-destination 54 dport 23access-list 101 deny icmp host-source host-destination 54 access-list 102 deny icmp host-source host-destination 54access-list 102 pe

26、rmit tcp host-source host-destination 54 Firewall enableFirewall default permitInterface e0/0/1Ip access-group 101 inInterface e0/0/2Ip access-group 102 in企業(yè)網(wǎng)綜合實戰(zhàn)基于時間的訪問控制列表基于時間的訪問控制列表概述概述可以根據(jù)一天中的不同時間，或者根據(jù)一個星期可以根據(jù)一天中的不同時間，或者根據(jù)一個星期中的不同日期，或者二者相結(jié)合，來控制對網(wǎng)絡(luò)中的不同日期，或者二者相結(jié)合，來控制對網(wǎng)絡(luò)數(shù)據(jù)

27、包的轉(zhuǎn)發(fā)。數(shù)據(jù)包的轉(zhuǎn)發(fā)。實現(xiàn)基于時間的訪問列表的操作步驟實現(xiàn)基于時間的訪問列表的操作步驟w 定義一個時間范圍定義一個時間范圍1. 在訪問列表中引用時間范圍在訪問列表中引用時間范圍企業(yè)網(wǎng)綜合實戰(zhàn)基于時間的訪問控制列表的配置基于時間的訪問控制列表的配置第一步：時間范圍命名第一步：時間范圍命名time-range 第二步：定義具體的時間范圍第二步：定義具體的時間范圍定義絕對時間范圍定義絕對時間范圍absolute Absolute-periodic定義周期、重復(fù)使用的時間范圍定義周期、重復(fù)使用的時間范圍periodic第三步第三步在訪問列表中引用時間范圍在訪問列表中引用時間范圍企業(yè)網(wǎng)綜合實戰(zhàn)說明說明

28、absolute-periodic Monday|Tuesday|Wednesday |Thursday|Friday| Saturday|Sunday to Monday.|Tuesday.|Wednesday.| Thursday.| Friday.|Saturday.|Sunday. Periodic Monday+Tuesday+Wednesday+Thursday+Friday +Saturday +Sunday| daily| weekdays | weekend to absolute Monday|Tuesday|Wednesday |Thursday|Friday| Satu

29、rday|Sunday to Monday.|Tuesday.| Wednesday.| Thursday.| Friday.|Saturday.|Sunday. 或或absolute start end 企業(yè)網(wǎng)綜合實戰(zhàn)說明說明4.periodic命令中參數(shù)命令中參數(shù)參數(shù)參數(shù)描述描述Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,sunday某一天或某幾天的結(jié)合某一天或某幾天的結(jié)合daily每天每天weekdays從星期一到星期五從星期一到星期五weekend星期六和星期日星期六和星期日確保交換機時鐘設(shè)置準(zhǔn)確確保交換機時鐘設(shè)置準(zhǔn)確 開始時間必

30、須小于結(jié)束時間開始時間必須小于結(jié)束時間 企業(yè)網(wǎng)綜合實戰(zhàn)舉例：舉例： 使使Tuesday的的9:15:30到到Saturday 的的12:30:00 時間段內(nèi)配置時間段內(nèi)配置生效生效Switch(Config)#time-range dc_timer Switch(Config-Time-Range)#absolute-periodic Tuesday 9:15:30 to Saturday. 12:30:00 使使Monday、Wednesday、Friday 和和Sunday 四天內(nèi)的四天內(nèi)的14:30:00 到到16:45:00 時間段配置生效時間段配置生效Switch (Config-T

31、ime-Range) #periodic Monday Wednesday FridaySunday 14:30:00 to 16:45:00 企業(yè)網(wǎng)綜合實戰(zhàn)基于時間訪問列表應(yīng)用舉例基于時間訪問列表應(yīng)用舉例要求：要求：1. 限制限制網(wǎng)段的主機只能在網(wǎng)段的主機只能在2007年年6月月1日至日至2008年年12月月31日內(nèi)的日內(nèi)的星期六的早上星期六的早上7:00到星期日的下午到星期日的下午5:00進(jìn)行進(jìn)行WWW訪問。訪問。企業(yè)網(wǎng)綜合實戰(zhàn)Route-config#time-range allow-wwwRoute-config-time-range#absolute start

32、 7:00:00 2007.6.1 end 17:00:00 2008 .12.31 Route-config-time-range#periodic weekend 7:00:00 to 17:00:00Route-config#ip access-list extended timeaclRoute-config-ext-nacl#permit tcp 55 any-destination dport 80 time-range allow-wwwRoute-config#firewall enableRoute-config#firewall def

33、ault permitRoute-config# int E0/0/1Route-config-f0/1#ip access-group timeacl in企業(yè)網(wǎng)綜合實戰(zhàn)第五次實驗第五次實驗 ACL配置（一）配置（一）實驗?zāi)康膶嶒災(zāi)康膚 理解理解ACL的作用的作用w 掌握交換機的命名標(biāo)準(zhǔn)掌握交換機的命名標(biāo)準(zhǔn)ACL和命名擴展和命名擴展ACL的配置的配置方法方法w 掌握交換機的數(shù)字標(biāo)準(zhǔn)掌握交換機的數(shù)字標(biāo)準(zhǔn)ACL和數(shù)字?jǐn)U展和數(shù)字?jǐn)U展ACL的配置的配置方法方法實驗內(nèi)容實驗內(nèi)容1. 見見交換機實驗交換機實驗中的實驗三十一、三十二。中的實驗三十一、三十二。企業(yè)網(wǎng)綜合實戰(zhàn)實驗三十一實驗三十一標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL

34、配置配置PC1和和PC2通過交換機通過交換機A連連到到Server（假設(shè)為（假設(shè)為telnet服服務(wù)器）。務(wù)器）。要求：要求：不配置不配置ACL時，時，PC1和和PC2都可訪問都可訪問server；配置配置ACL后，后，PC1和和PC2都不能訪問都不能訪問server。只有更。只有更改了改了IP地址后才可訪問；地址后才可訪問；企業(yè)網(wǎng)綜合實戰(zhàn)Ip access-list standard testDeny 1 55Deny 2 為什么會有下列結(jié)果？為什么會有下列結(jié)果？PC端口端口Ping結(jié)果結(jié)果Pc1: 192.16

35、8.100.110/0/不通不通Pc1: 20/0/不通不通Pc2: 20/0/9不通不通Pc2: 20/0/9通通企業(yè)網(wǎng)綜合實戰(zhàn)實驗三十二實驗三十二擴展擴展ACL配置配置PC1和和PC2通過交換機通過交換機A連連到到Server（假設(shè)為（假設(shè)為telnet服服務(wù)器）。務(wù)器）。要求：要求：不配置不配置ACL時，時，PC1和和PC2都可訪問都可訪問server；配置配置ACL后，后，PC2不能訪不能訪問問server。只有更改了。只有更改了IP地地址后

36、才可訪問；址后才可訪問；企業(yè)網(wǎng)綜合實戰(zhàn)Ip access-list extended testDeny tcp host-source 2 host-destination dport 23為什么會有下列結(jié)果？為什么會有下列結(jié)果？PC端口端口telnet結(jié)果結(jié)果Pc1: 10/0/通通Pc2: 20/0/9不通不通Pc2: 20/0/9通通企業(yè)網(wǎng)綜合實戰(zhàn)第六次實驗第六次實驗ACL配置（二）配置（二）實驗?zāi)康膶嶒災(zāi)康倪M(jìn)一步熟悉

37、和掌握交換機的進(jìn)一步熟悉和掌握交換機的ACL配置。配置。實驗內(nèi)容實驗內(nèi)容見見交換實驗指導(dǎo)交換實驗指導(dǎo)實驗三十三、三十四實驗三十三、三十四企業(yè)網(wǎng)綜合實戰(zhàn)實驗三十三實驗三十三單向訪問控制的實現(xiàn)單向訪問控制的實現(xiàn)PC1和和PC2通過交換機通過交換機A相相連。連。要求：要求：不配置不配置ACL時，時，PC1和和PC2可以互訪；可以互訪；配置配置ACL后，后， PC1可以訪可以訪問問PC2，但，但PC2不能訪問不能訪問PC1 （如（如ping）。）。企業(yè)網(wǎng)綜合實戰(zhàn)Ip access-list extended testDeny icmp host-source 2 host-d

38、estination 1 8Int e0/0/1Ip access-group test in企業(yè)網(wǎng)綜合實戰(zhàn)實驗三十四實驗三十四配置訪問列表過濾病毒配置訪問列表過濾病毒目的目的了解病毒的工作原理，掌握常見病毒的特征；了解病毒的工作原理，掌握常見病毒的特征；掌握過濾病毒的方法掌握過濾病毒的方法要求要求通過配置，使交換機能隔離病毒。通過配置，使交換機能隔離病毒。企業(yè)網(wǎng)綜合實戰(zhàn)病毒運行時會不停地利用病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)的漏洞進(jìn)行攻擊，一旦攻擊成功，絡(luò)上系統(tǒng)的漏洞進(jìn)行攻擊，一旦攻擊成功，病毒體將會被傳送到對方計算機中進(jìn)行感染，病毒體將

39、會被傳送到對方計算機中進(jìn)行感染，使系統(tǒng)操作異常、文件丟失或被破壞、不停使系統(tǒng)操作異常、文件丟失或被破壞、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰等。重啟、甚至導(dǎo)致系統(tǒng)崩潰等。病毒常會利用病毒常會利用135、139、 69 、4444、445等等端口。端口。企業(yè)網(wǎng)綜合實戰(zhàn)第一步：創(chuàng)建第一步：創(chuàng)建aclip access-list extended antivirus第二步：制定過濾規(guī)則第二步：制定過濾規(guī)則/禁禁ping deny icmp any-source any-destination/用于控制用于控制Blaster蠕蟲的傳播蠕蟲的傳播deny udp any-source any-destinatio

40、n d-port 69deny tcp any-source any-destination d-port 4444/用于控制沖擊波病毒的掃描和攻擊用于控制沖擊波病毒的掃描和攻擊deny tcp any-source any-destination d-port 135deny udp any-source any-destination d-port 135deny udp any-source any-destination d-port 137deny udp any-source any-destination d-port eq 138deny tcp any-source any-

41、destination d-port 139deny udp any-source any-destination d-port 139企業(yè)網(wǎng)綜合實戰(zhàn)deny tcp any-source any-destination d-port 445deny udp any-source any-destination d-port 445deny udp any-source any-destination d-port 593deny tcp any-source any-destination d-port 593deny tcp any-source any-destination d-por

42、t 5554deny tcp any-source any-destination d-port 9995deny tcp any-source any-destination d-port 9996啟用防火墻功能，并配置默認(rèn)規(guī)則啟用防火墻功能，并配置默認(rèn)規(guī)則Firewall enableFirewall default permit將將ACL應(yīng)用于端口應(yīng)用于端口Ip access-group antivirus in企業(yè)網(wǎng)綜合實戰(zhàn)MAC 訪問列表類型訪問列表類型數(shù)字標(biāo)準(zhǔn)數(shù)字標(biāo)準(zhǔn)MAC 訪問列表訪問列表數(shù)字?jǐn)U展數(shù)字?jǐn)U展MAC 訪問列表訪問列表命名擴展命名擴展MAC 訪問列表訪問列表企業(yè)網(wǎng)綜合實

43、戰(zhàn)配置數(shù)字標(biāo)準(zhǔn)配置數(shù)字標(biāo)準(zhǔn)MAC訪問列表的步驟訪問列表的步驟創(chuàng)建數(shù)字標(biāo)準(zhǔn)創(chuàng)建數(shù)字標(biāo)準(zhǔn)MAC 訪問列表訪問列表開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建數(shù)字標(biāo)準(zhǔn)創(chuàng)建數(shù)字標(biāo)準(zhǔn)MAC 訪問列表訪問列表命令：命令：access-list deny|permit any-source-mac | host-source-mac | 功能：定義一條標(biāo)準(zhǔn)數(shù)字功能：定義一條標(biāo)準(zhǔn)數(shù)字MAC ACL 規(guī)則規(guī)則 參數(shù)：參數(shù)： 訪問表號，取值訪問表號，取值700 到到799 ；， 源源MAC 地址；地址； 源源MA

44、C 地址的掩碼（反掩地址的掩碼（反掩碼）碼）說明：當(dāng)用戶第一次指定特定說明：當(dāng)用戶第一次指定特定時，創(chuàng)建此編號的時，創(chuàng)建此編號的ACL，之后在此，之后在此ACL 中添加表項。中添加表項。舉例：允許源舉例：允許源MAC 地址為地址為00-00-XX-XX-00-01 的數(shù)據(jù)包通過，拒絕源地址的數(shù)據(jù)包通過，拒絕源地址為為00-00-00-XX-00-ab 的數(shù)據(jù)包通過。的數(shù)據(jù)包通過。Switch(Config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-01 Switch(Config)# access-list 700 de

45、ny 00-00-00-00-00-ab 00-00-00-FF-00-ab 企業(yè)網(wǎng)綜合實戰(zhàn)配置數(shù)字?jǐn)U展配置數(shù)字?jǐn)U展MAC訪問列表的步驟訪問列表的步驟創(chuàng)建數(shù)字?jǐn)U展創(chuàng)建數(shù)字?jǐn)U展MAC 訪問列表訪問列表開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建數(shù)字?jǐn)U展創(chuàng)建數(shù)字?jǐn)U展MAC 訪問列表訪問列表命令：命令：access-list deny|permit any-source -mac | host-source-mac | any-destination-mac| host-destination-ma

46、c | untagged-eth2|tagged-eth2| untagged-802.3 |tagged-802.3 參數(shù)：參數(shù)： 訪問表號，取值訪問表號，取值11001199；untagged-eth2 未標(biāo)記的未標(biāo)記的ethernet II 包格式；包格式；tagged-eth2 標(biāo)記的標(biāo)記的ethernet II 包格式；包格式；untagged-802.3 未標(biāo)記的未標(biāo)記的ethernet 802.3 包格式；包格式；tagged-802.3 標(biāo)記的標(biāo)記的ethernet 802.3 包格式；包格式；Offset(x) 從包頭開始起的偏移量，范圍為（從包頭開始起的偏移量，范圍為（12

47、-79）；）；Length(x) 長度為長度為1-4 ；Value(x) 16 進(jìn)進(jìn)制數(shù)表示，取值范圍：當(dāng)制數(shù)表示，取值范圍：當(dāng)Length(x) =1 為為0-ff , 當(dāng)當(dāng)Length(x) =2為為0-ffff , 當(dāng)當(dāng)Length(x) =3 為為0-ffffff , 當(dāng)當(dāng)Length(x) =4 為為0-ffffffff ； 對于對于Offset(x)，對不同的數(shù)據(jù)幀類型，它的取值范圍不同：對，對不同的數(shù)據(jù)幀類型，它的取值范圍不同：對untagged-eth2 類型幀：類型幀： ，對，對untagged-802.3 類型幀：類型幀： ，對，對tagged-eth2 類型幀：類型幀：

48、，對，對tagged-802.3 類型幀：類型幀： 企業(yè)網(wǎng)綜合實戰(zhàn)舉例：允許任意源舉例：允許任意源MAC 地址任意目的地址任意目的MAC 地地址的址的tagged-eth2，且其第，且其第15 16 個字節(jié)分別為個字節(jié)分別為0 x08 ，0 x0 的包通過的包通過Switch(Config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 14 2 0800 企業(yè)網(wǎng)綜合實戰(zhàn)配置命名擴展配置命名擴展MAC訪問列表的步驟訪問列表的步驟創(chuàng)建一個命名擴展創(chuàng)建一個命名擴展MAC 訪問列表訪問列表 指定多條指定多

49、條permit 或或deny 規(guī)則規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建一個命名擴展創(chuàng)建一個命名擴展IP 訪問列表訪問列表命令：命令：Mac-access-list extended 說明：說明： name為訪問列表的名字，字符串長度為為訪問列表的名字，字符串長度為116個個字符，第一個字符不能為數(shù)字。字符，第一個字符不能為數(shù)字。舉例：創(chuàng)建一個名為舉例：創(chuàng)建一個名為test的擴展的擴展mac訪問列表訪問列表Mac-access-list extended test 企業(yè)網(wǎng)綜合實戰(zhàn)指

50、定多條指定多條permit 或或deny 規(guī)則規(guī)則命令：命令： deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-eth2 ethertype protocol-mask deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | tagged-eth2 cos vlanId 企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny

51、規(guī)則規(guī)則命令：命令：deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | untagged-802.3deny|permit any-source -mac|host-source-mac | any-destination-mac|host-destination-mac | tagged-802.3 cos vlanId 企業(yè)網(wǎng)綜合實戰(zhàn)指定多條指定多條permit 或或deny 規(guī)則規(guī)則命令：命令：deny|permit any-source -mac|host-so

52、urce-mac | any-destination-mac|host-destination-mac | cos vlanId ethertype 企業(yè)網(wǎng)綜合實戰(zhàn)說明說明 ：cos-val: cos 值，值，0-7；cos-bitmask : cos 掩碼，掩碼， 0-7 反掩碼且掩碼反掩碼且掩碼比特連續(xù)；比特連續(xù)；vid-value: vlan 號，號，1-4094；vid-bitmask:vlan 掩碼，掩碼， 0-4095 ，反，反掩碼且掩碼比特連續(xù)；掩碼且掩碼比特連續(xù)；protocol : 特定的以太網(wǎng)協(xié)議號，特定的以太網(wǎng)協(xié)議號，153665535；protocol-bitmask:

53、 協(xié)議掩碼，協(xié)議掩碼，065535， 反掩碼且掩碼比特連續(xù)反掩碼且掩碼比特連續(xù)注意：掩碼比特連續(xù)是指，掩碼有效位必須從左第一位注意：掩碼比特連續(xù)是指，掩碼有效位必須從左第一位開始連續(xù)有效，不允許中間插入無效位，例如：一個字開始連續(xù)有效，不允許中間插入無效位，例如：一個字節(jié)的反掩碼形式為：節(jié)的反掩碼形式為：00001111b ；正掩碼形式為：；正掩碼形式為：1110000；不允許；不允許00010011。企業(yè)網(wǎng)綜合實戰(zhàn)例例1管理員不希望交換機管理員不希望交換機10號端口的網(wǎng)段中號端口的網(wǎng)段中00-12-11-23-xx-xx的的802.3數(shù)據(jù)報文的發(fā)出。數(shù)據(jù)報文的發(fā)出。 配置如下：配置如下：sw

54、itch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac tagged-802.3switch(Config)#access-list 1110 deny 00-12-11-23-11-24 00-00-00-00-ff-ff any-destination-mac untagged-802.3switch(Config)#firewall enable switch(Config)#firewall default permitswitch(Config)#interf

55、ace ethernet 0/0/10switch(Config-Ethernet0/0/10)#mac access-group 1110 in企業(yè)網(wǎng)綜合實戰(zhàn)MAC-IP 訪問列表類型訪問列表類型數(shù)字?jǐn)U展數(shù)字?jǐn)U展MAC-IP 訪問列表訪問列表命名擴展命名擴展MAC-IP 訪問列表訪問列表企業(yè)網(wǎng)綜合實戰(zhàn)配置數(shù)字?jǐn)U展配置數(shù)字?jǐn)U展MAC-IP訪問列表的步驟訪問列表的步驟創(chuàng)建數(shù)字?jǐn)U展創(chuàng)建數(shù)字?jǐn)U展MAC-IP 訪問列表訪問列表開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作開啟交換機的包過濾功能，并設(shè)置其默認(rèn)動作將訪問列表應(yīng)用到指定端口將訪問列表應(yīng)用到指定端口企業(yè)網(wǎng)綜合實戰(zhàn)創(chuàng)建數(shù)字?jǐn)U展創(chuàng)建數(shù)字?jǐn)U展MAC-IP

56、 訪問列表訪問列表命令：命令：access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destination-mac | icmp |any-source |host-source |any-destination| host-destination precedence tos time -range access-list deny|permit any-source -mac| host-source-mac | any-destination-mac|host-destina

57、tion-mac | igmp |any-source|host-source |any-destination| host-destination precedence tos time -range 企業(yè)網(wǎng)綜合實戰(zhàn)access-list deny|permit any-source -mac|host-source-mac | any-destination-mac| host-destination-mac | tcp |any-source| host-source s-port |any-destination|host-destination d-port ack+fin+psh+

58、rst+urg+syn precedence tos time -range access-list deny|permitany-source -mac| host-source-mac |any-destination-mac| host-destination-mac| udp |any-source| host-source s-port |any-destination| host-destination d-port precedence tos time-range 企業(yè)網(wǎng)綜合實戰(zhàn)access-list deny|permit any-source -mac| host-sour

59、ce-mac | any-destination-mac|host-destination-mac | eigrp|gre|igrp|ip|ipinip|ospf| |any-source|host-source |any-destination| host-destination precedence tostime -range企業(yè)網(wǎng)綜合實戰(zhàn)參數(shù)：參數(shù)：access-list-number 訪問表號，取值訪問表號，取值31003199 ；protocol 名字或名字或IP 協(xié)議的號。它可以是關(guān)鍵字協(xié)議的號。它可以是關(guān)鍵字 eigrp, gre, icmp, igmp, igrp, ip,

60、ipinip, ospf, tcp, or udp, 也可以是表示也可以是表示IP 協(xié)議號的協(xié)議號的0 到到255 的一個整數(shù)。的一個整數(shù)。為了匹配任何為了匹配任何Internet 協(xié)議（包括協(xié)議（包括ICMP，TCP 和和UDP）使用關(guān)鍵字）使用關(guān)鍵字ip。企業(yè)網(wǎng)綜合實戰(zhàn)例：允許源例：允許源MAC 為為00-12-34-45-XX-XX，任意目的，任意目的MAC 地址，源地址，源IP 地址為：地址為： ，55 ， 任意目的任意目的IP 地址，且源端口是地址，且源端口是100，目的端口是，目的端口是40000 的的TCP 報文通過。報文通過。Switch