交換機(jī)端口安全及認(rèn)證課件

第5章交換機(jī)端口安全及認(rèn)證5.1交換機(jī)端口安全及配置5.2在三層交換機(jī)上配置訪問控制列表ACL5.3交換機(jī)端口安全認(rèn)證簡介1第5章交換機(jī)端口安全及認(rèn)證5.1交換機(jī)端口安全及配置5.2在三層交換機(jī)上配置訪問控制列表ACL

5.2.1ACL概述5.2.2ACL的類型5.2.3ACL配置25.2在三層交換機(jī)上配置訪問控制列表ACL5.2.1什么是訪問列表AccessControlList：訪問列表或訪問控制列表，簡稱ACLACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√什么是訪問列表AccessControlList：訪問列訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞4訪問列表訪問控制列表的作用：4訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上5訪問列表的組成定義訪問列表的步驟5訪問列表規(guī)則的應(yīng)用路由器（或交換機(jī)）應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT6訪問列表規(guī)則的應(yīng)用路由器（或交換機(jī)）應(yīng)用訪問列表對流經(jīng)接口訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方7訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0訪問列表的出棧應(yīng)用以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是NYIPACL執(zhí)行如下基本準(zhǔn)則，執(zhí)行順序如下圖所示：從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過;而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配ACL的工作原理9IPACL執(zhí)行如下基本準(zhǔn)則，執(zhí)行順序如下圖所示：ACL的工YY是否匹配

測試條件1?是否匹配

測試條件2?拒絕是否匹配

最后一個(gè)

測試條件

?YYNY允許被系統(tǒng)隱

含拒絕N允許允許拒絕拒絕N允許通過一個(gè)訪問列表多條過濾規(guī)則10YY是否匹配

測試條件1是否匹配

測試條件2拒絕是否匹配

最5.2.2ACL的類型分類：1、IP標(biāo)準(zhǔn)訪問控制列表(StandardIPACL)2、IP擴(kuò)展訪問控制列表(ExtendedIPACL)動(dòng)作：允許(Permit)拒絕(Deny)應(yīng)用方法：入棧(Out)出棧(In)115.2.2ACL的類型分類：11訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義12訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表12源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號列表IP標(biāo)準(zhǔn)訪問列表源地址TCP/UDP數(shù)據(jù)IP

eg.HDLCIP標(biāo)準(zhǔn)訪問列目的地址源地址協(xié)議端口號IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199號列表目的地址源地址協(xié)議端口號IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)

0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111反掩碼（通配符）0表示檢查相應(yīng)的地址比特001111111286432IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACLIP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL基于名稱的訪問控制列表ipaccess-list[standard|extended][ACL名稱]其中standard為標(biāo)準(zhǔn)命名ACL，extended為擴(kuò)展命名ACLdeny|permit{source-netsource-wildcard|hostsource-address|any}標(biāo)準(zhǔn)命名ACL規(guī)則deny|permit

protocol{source-netsource-wildcard|host

source-address|

any}[operatorport]{destination-netdestination-wildcard|hostdestination-address|any}[operatorport]擴(kuò)展命名ACL規(guī)則18基于名稱的訪問控制列表ipaccess-list[sta5.2.3ACL配置命名ACL配置命名的標(biāo)準(zhǔn)訪問列表命令格式為：①定義命名的標(biāo)準(zhǔn)訪問列表：ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}②應(yīng)用ACL到接口Router(config-if)#ipaccess-group{name}{in|out}195.2.3ACL配置命名ACL配置19③顯示ACL信息在特權(quán)模式下使用如下命令可以顯示ACL配置信息Showaccess-lists[name]//顯示所有或指定名稱的ACL配置信息Showipaccess-lists[name]//顯示所有或指定名稱的IPACL配置信息Showipaccess-group[interface

interface-id]//顯示指定接口上的IPACL配置信息Showrunning-config//顯示正在運(yùn)行的所有配置信息20③顯示ACL信息20（2）擴(kuò)展的ACL命名的擴(kuò)展ACL格式：ipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]應(yīng)用ACL到接口：Router(config-if)#ipaccess-group{name}{in|out}21（2）擴(kuò)展的ACL21IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACLF1/0S1/2F1/1IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out23F1/0S1/2F1標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ipaccess-liststandardabcpermithostdeny55財(cái)務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長24標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：財(cái)務(wù)教師192.168.2.IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACLIP擴(kuò)展訪問列表配置實(shí)例(一)如何創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103IP擴(kuò)展訪問列表配置實(shí)例(一)如何創(chuàng)建一條擴(kuò)展ACL

access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyany

interface<type><number>ipaccess-group115inipaccess-group115outIP擴(kuò)展訪問列表配置實(shí)例(二)利用ACL隔離沖擊波病毒27access-list115denyudpany訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號28訪問列表的驗(yàn)證顯示全部的訪問列表28IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL2、銳捷全系列交換機(jī)可針對物理接口和SVI接口應(yīng)用ACL針對物理接口，只能配置入棧應(yīng)用(In)針對SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應(yīng)用3、訪問列表的缺省規(guī)則是：拒絕所有29IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組IPACL注意事項(xiàng)：1、交換機(jī)支持命名的ACL，路由器支持編號的ACL2、刪除端口上應(yīng)用的ACL時(shí)需要在端口下刪除3、交換機(jī)和交換機(jī)相連配Trunk30IPACL注意事項(xiàng)：30第5章交換機(jī)端口安全及認(rèn)證5.1交換機(jī)端口安全及配置5.2在三層交換機(jī)上配置訪問控制列表ACL5.3交換機(jī)端口安全認(rèn)證簡介31第5章交換機(jī)端口安全及認(rèn)證5.1交換機(jī)端口安全及配置5.2在三層交換機(jī)上配置訪問控制列表ACL

5.2.1ACL概述5.2.2ACL的類型5.2.3ACL配置325.2在三層交換機(jī)上配置訪問控制列表ACL5.2.1什么是訪問列表AccessControlList：訪問列表或訪問控制列表，簡稱ACLACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√什么是訪問列表AccessControlList：訪問列訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞34訪問列表訪問控制列表的作用：4訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上35訪問列表的組成定義訪問列表的步驟5訪問列表規(guī)則的應(yīng)用路由器（或交換機(jī)）應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT36訪問列表規(guī)則的應(yīng)用路由器（或交換機(jī)）應(yīng)用訪問列表對流經(jīng)接口訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方37訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0訪問列表的出棧應(yīng)用以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是NYIPACL執(zhí)行如下基本準(zhǔn)則，執(zhí)行順序如下圖所示：從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過;而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配ACL的工作原理39IPACL執(zhí)行如下基本準(zhǔn)則，執(zhí)行順序如下圖所示：ACL的工YY是否匹配

測試條件1?是否匹配

測試條件2?拒絕是否匹配

最后一個(gè)

測試條件

?YYNY允許被系統(tǒng)隱

含拒絕N允許允許拒絕拒絕N允許通過一個(gè)訪問列表多條過濾規(guī)則40YY是否匹配

測試條件1是否匹配

測試條件2拒絕是否匹配

最5.2.2ACL的類型分類：1、IP標(biāo)準(zhǔn)訪問控制列表(StandardIPACL)2、IP擴(kuò)展訪問控制列表(ExtendedIPACL)動(dòng)作：允許(Permit)拒絕(Deny)應(yīng)用方法：入棧(Out)出棧(In)415.2.2ACL的類型分類：11訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義42訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表12源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號列表IP標(biāo)準(zhǔn)訪問列表源地址TCP/UDP數(shù)據(jù)IP

eg.HDLCIP標(biāo)準(zhǔn)訪問列目的地址源地址協(xié)議端口號IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199號列表目的地址源地址協(xié)議端口號IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)

0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111反掩碼（通配符）0表示檢查相應(yīng)的地址比特001111111286432IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACLIP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL基于名稱的訪問控制列表ipaccess-list[standard|extended][ACL名稱]其中standard為標(biāo)準(zhǔn)命名ACL，extended為擴(kuò)展命名ACLdeny|permit{source-netsource-wildcard|hostsource-address|any}標(biāo)準(zhǔn)命名ACL規(guī)則deny|permit

protocol{source-netsource-wildcard|host

source-address|

any}[operatorport]{destination-netdestination-wildcard|hostdestination-address|any}[operatorport]擴(kuò)展命名ACL規(guī)則48基于名稱的訪問控制列表ipaccess-list[sta5.2.3ACL配置命名ACL配置命名的標(biāo)準(zhǔn)訪問列表命令格式為：①定義命名的標(biāo)準(zhǔn)訪問列表：ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}②應(yīng)用ACL到接口Router(config-if)#ipaccess-group{name}{in|out}495.2.3ACL配置命名ACL配置19③顯示ACL信息在特權(quán)模式下使用如下命令可以顯示ACL配置信息Showaccess-lists[name]//顯示所有或指定名稱的ACL配置信息Showipaccess-lists[name]//顯示所有或指定名稱的IPACL配置信息Showipaccess-group[interface

interface-id]//顯示指定接口上的IPACL配置信息Showrunning-config//顯示正在運(yùn)行的所有配置信息50③顯示ACL信息20（2）擴(kuò)展的ACL命名的擴(kuò)展ACL格式：ipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]應(yīng)用ACL到接口：Router(config-if)#ipaccess-group{name}{in|out}51（2）擴(kuò)展的ACL21IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACLF1/0S1/2F1/1IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out53F1/0S1/2F1標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ipaccess-liststandardabcpermithostdeny55財(cái)務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長54標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：財(cái)務(wù)教師192.168.2.IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACLIP擴(kuò)展訪問列表配置實(shí)例(一)如何創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#