下面是小编为大家整理的交换机配置IP访问控制列表 Cisco6509(共含8篇),欢迎阅读与收藏。同时,但愿您也能像本文投稿人“TT”一样,积极向本站投稿分享好文章。
Console> (enable) set ip permit enable
IP permit list enabled.
Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet
172.16.0.0 with mask 255.255.0.0 added to telnet permit list.
Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp
172.20.52.32 with mask 255.255.255.224 added to snmp permit list.
Console> (enable) set ip permit 172.20.52.3 all
172.20.52.3 added to IP permit list.
Console> (enable) show ip permit
Telnet permit list feature enabled.
Snmp permit list feature enabled.
Permit List Mask Access Type
---------------- ---------------- -------------
172.16.0.0 255.255.0.0 telnet
172.20.52.3 snmp telnet
172.20.52.32 255.255.255.224 snmp
Denied IP Address Last Accessed Time Type Telnet Count SNMP Count
----------------- ------------------ ------ ------------ ----------
172.100.101.104 01/20/97,07:45:20 SNMP 14 1430
172.187.206.222 01/21/97,14:23:05 Telnet 7 236
Console> (enable)
Console> (enable) set ip permit disable all
Console> (enable) clear ip permit 172.100.101.102
172.100.101.102 cleared from IP permit list.
Console> (enable) clear ip permit 172.160.161.0 255.255.192.0 snmp
172.160.128.0 with mask 255.255.192.0 cleared from snmp permit list.
Console> (enable) clear ip permit 172.100.101.102 telnet
172.100.101.102 cleared from telnet permit list.
Console> (enable) clear ip permit all
IP permit list cleared.
Console> (enable)
交换机配置
IP访问控制列表
前言
此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目,用于ACLs阻拦IP信息包从被路由器转发。
RFC 1858 报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机,或者阻塞所有其内部资源。
RFC 1858 也描述二个方法保卫这些攻 击,直接和间接。在直接方法,最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报,间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858 关于更详细的细节。
传统上, 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包,可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而,因为这些信息包不包含第四层信息,他 们在ACL条目不匹配第四层信息,如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段,允许IP数据包的非 初始片段通过是可接受的。
防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 ? Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表,但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包,并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其辅助角色是阻拦他们。
二 个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法,如所描述在 RFC 1858 ,是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。
ACL表项的类型
有六不同种类的ACL线路 ,并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表,FO = 0指示不分片或一个初始分段在TCP流,FO > 0表明信 息包是一个非初始片段,L3意味着第三层,并且L4意味着第四层。
注意: 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在,ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。
在拒绝 事例,而不是拒绝一个非初始片段,下ACL条目被处理。在许 可证事例,假设第四层信息在信息包,如果可用,在ACL 线路匹配 第四层信息。
许可证ACL线路带有L3仅信息
如果信息包的L3信息在ACL线路匹配 L3 信息,允许。
如果信息包的L3信 息在ACL线路不匹配L3信息,下ACL条目被处理。
拒绝ACL线路带有L3仅信息
如果信息包的L3信息 在ACL线路匹配L3 信息,它否认。
如果信息包的L3信息在ACL线路不匹配L3信息,下ACL条目被处理。
允许ACL线 路带有L3仅信息,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息 包碎片偏移被检查。
如果信息包的 FO > 0,信息包允许。
如果信息包 的FO = 0,下ACL条目被处理。
拒绝ACL线路带有L3仅信息 ,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息包碎片偏移被检 查,
如果信息包的FO > 0,信息包被 丢弃。
如果信息包的FO = 0,下条 ACL线路被处理。
允许ACL线路带有L3和L4信息
如果信息包的L3和L4信息匹配ACL线 路和FO = 0,信息包允许。
如果信息 包的L3信息匹配ACL线路和FO > 0,信息包允许。
拒绝ACL线路带有L3和L4信 息
如果信息包的L3和 L4信息匹配ACL条目和FO = 0,信息包被丢弃。
如果信息包的L3信息匹配ACL线路和FO > 0,下ACL 条目被处理。
ACL规则流程图
当不分片、初始分段和非初始片段被检查ACL时,以 下流程图说明ACL规则。
注意: 非初始片段包含仅第三层,从未第四层信息, 虽然ACL可能包含第三层和第四层信息。
信息包如何能匹配 ACL
示例 1
以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。
access-list 100 permit tcp any host 171.16.23.1 eq 80access-list 100 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口80:
ACL的第一条线路包含第 三层和第四层信息,在信息包匹配第三层和第四层信息,因此信息 包允许。
信息包是为服务器或不分片注定的初始分段在端口21:
ACL的第一条线路包含第 三层和第四层信息,但第四层信息在ACL不匹配信息包,因此下条 ACL线路被处理。
ACL的第二条线路丢 弃所有信息包,因此信息包被丢弃。
信息包是非初始片段到服务 器在端口80流:
ACL的第 一条线路包含第三层和第四层信息,第三层信息在ACL匹配信息包, 并且ACL 活动是允许,因此信息包允许。
信息包是非初始片段到服务 器在端口21流:
ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包,没有第四层信息在信息包,并且ACL活动是允许,因此信息 包允许。
信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网:
ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息, 因此下条ACL线路被处理。
ACL的第 二条线路丢弃所有信息包,因此信息包被丢弃。
示例 2
下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次,参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。
access-list 101 deny ip any host 171.16.23.1 fragmentsaccess-list 101 permit tcp any host 171.16.23.1 eq 80access-list 101 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口 80:
ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ,但因为 片段 关键字存 在,下ACL条目被处理。
ACL的第二 条线路包含第三层和第四层信息,匹配信息包,因此信息包允许。
H3C交换机典型访问控制列表(ACL)配置实例
一 组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤,
二 组网图:
三 配置步骤:
1 H3C 3600 5600 5100系列交换机典型访问控制列表配置
共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
[H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 30
[H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虚接口地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit
[H3C]interface vlan 20
[H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit
[H3C]interface vlan 30
[H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit
[H3C]interface vlan 40
[H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定义时间段
[H3C] time-range huawei 8:00 to 18:00 working-day
需求1配置(基本ACL配置)
1.进入号的基本访问控制列表视图
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.在接口上应用2000号ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
需求2配置(高级ACL配置)
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.在接口上用3000号ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
需求3配置(二层ACL配置)
1.进入4000号的二层访问控制列表视图
[H3C] acl number 4000
2.定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
2 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置
需求2配置
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.定义流分类
[H3C] traffic classifier abc
[H3C-classifier-abc]if-match acl 3000
[H3C-classifier-abc]quit
5.定义流行为,确定禁止符合流分类的报文
[H3C] traffic behavior. abc
[H3C-behavior-abc] filter deny
[H3C-behavior-abc] quit
6.定义Qos策略,将流分类和流行为进行关联
[H3C]qos policy abc
[H3C-qospolicy-abc] classifier abc behavior. abc
[H3C-qospolicy-abc] quit
7.在端口下发Qos policy
[H3C] interface g1/1/2
[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound
8.补充说明:
l acl只是用来区分数据流,permit与deny由filter确定;
l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;
l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;
l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发,
四 配置关键点:
1.time-name 可以自由定义;
2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应;
3.S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
访问控制列表acl主要用于,在一个企业局域网中,对部分部门或员工的访问情况做规则,对通信流量做过滤,而且不只是局域网,如果知道外网网段和端口,也可进行限制,
acl注意事项:
1)一个表中的规则条目不能有冲突的存在
2)acl表建立后默认拒绝所有主机的所有流量
3)因为acl表有优先级的存在所有必须想好拒绝和允许那个先写
4)acl只能用在三层交换或者路由器上
5)acl的应用包括两个步骤:创建acl 在端口应用acl(如有vlan在vlan口应用即可,如没有vlan在物理口应用即可)
6)配置命名acl时,如果acl条目没有指定优先级,则新添加的默认在acl表的最后一个
7)同一acl表可应用于多个端口,前提是不冲突
8)网络设备的网管地址,就是用于远程管理的地址
在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击,
配置实例:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模拟器 定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。
设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播,
检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。
通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的 ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。
问:路由器的访问控制列表是如何设置的?
答:访问控制列表是一种包过滤技术,分为标准访问控制列表(编号为1到99)和扩展访问控制列表(编号为100到199)两类,
标准访问控制列表主要是对源地址的控制,适用于所有的协议。以Cisco2600路由器为例,假设允许192.168.1.0网段内的所有机器通过路由器出去,那么设置如下:
access-list 1 permit 192.168.1.0 0.0.0.255
interface serial 0
ip access-group 1 out
其中,0.0.0.255为该网段的通配符掩码,
非标准访问控制列表可以实现对源地址和目的地址的双重控制,还可以只针对某一协议作控制。以Cisco路由器为例,假设拒绝192.16.1.0网段内的所有机器通过80端口从路由器访问新浪网站,操作如下:
access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80
access-list 101 permit any any
interface serial 1
ip access-group 101 out
路由器ip访问控制列表的功能机器配置
路由器提供的访问控制列表能够为路由器提供初级的防火墙功能,它可以根据一些准则过滤不安全的数据包,如攻击包,病毒包等,以保障网络的安全性与可靠性,访问控列表的核心就是根据制定规则进行数据包的过滤,防止病毒包,扫描包,攻击包通过路由器去攻击网络,另外访问控制列表还可以限制网络流量,防止不必要的数据包通过路由,提高宽带利用率以及网络性能。
这里依ip访问控制列表为例:
1)ip访问裤子列表的分类:
标准访问控制列表:只能检查数据包的源地址。表号的范围是:1-99,扩展后是1300-
扩展访问控制列表:检查数据包的源地址与目的地址。根据原网络,目的网络,子网掩码,主机的ip地址决定数据包的过滤。该列表还可以检查指定的协议以及端口号。表号范围是100-199,扩展后是-2699
2)配置访问控制列表:
依照这样的步骤进行:首先要建立控制列表,然后在配置过滤准则和端口,最后是配置应用接口。
对于标准控制列表:语法格式为:access-list accessliast-number permit /deny source wildcard-mask(这是访问控制列表的通配符),
需要注意的是:标准呢访问控制列表仅仅检查数据包的源地址。
首先是设置条件,然后是进入端口,最后accesslist-number in.一般的permit 和deny是配合使用的。
对于扩展访问控制列表:语法格式为:access-list access-list number permit/deny protocol source wildcard-mask destination wildcard-mask operator/operand
注意acl的语句的顺序。
使用ip access-list命令:
首先在全局模式下:命令格式: ip access-list extended/standerd access-list-number/name
在扩展或标准访问控制模式下:命令格式:permit/deny protocol source wildcard-mask destination wildcard-mask operator/operand
通过配置动态访问控制列表,可以进行哪些操作呢?那么要如何进行操作呢?文章给出了详细的配置步骤,同时附有配置命令和注意事项,
这种ACL是基于lock-and-key的,动态acl平时是不生效的,只用当条件触发时才生效。例如;
在某台路由器上我进行了如下配置:
username netdigedu password 123
username netdigedu autocommand access-enable host time 5
line vty 0 4
login local
同时配置一个动态ACL:
access-list 100 permit tcp 192.168.1.1 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
access-list 101 dynamic abc timeout 60 permit icmp host 5.5.123.1 host 5.5.12.3
int e0/0
ip access-group 100 in
exit
在配置完成以后,我们在路由器1上ping 192.168.1.2 得到的结果是timeout。
当我们从路由器1上telnet到路由器2上以后,发现以下提示
当我们看到这个提示以后,我们在路由器1上去ping路由器2的时候,我们发现可以ping通了。
line vty 0 4
autocommand access-enable host timeout 5 '设置触发激活动态ACL
也就是说,当192.168.1.1 telnet到 192.168.1.2 并通过验证的话,则放置在e0/0接口上的动态ACL生效,这时192.168.1.可以ping通192.168.1.2,
关于两个timeout,access-list里的timeout是该条目的绝对超时时间,也就是该条目只能存在60分钟,autocommand中的timeout是空闲超时时间,也就说如果2分钟内如果没有匹配该条目的流量出现,则条目失效。默认值忘了,谢谢!
关于host参数我说一下,加上host参数的话,假设动态acl是这样写的;
access-list 101 dynamic abc timeout 60 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.2
那么最终生成的条目是permit icmp 5.5.123.1 0.0.0.0 host 5.5.12.3,也就是只为激活该条目的单个主机生成动态条目。不加host参数会为整个网段生成允许条目。
在这个例子里我做的实验的show ip acce的结果如下
r2#show ip acce
Extended IP access list 100
10 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (807 matches)
20 Dynamic abc permit icmp host 192.168.1.1 host 192.168.1.2
permit icmp host 192.168.1.1 host 192.168.1.2
我们发现,路由器自动创建了一个动态的访问控制列表的条目。
上面那个完整的例子里,加不加host都一样,因为动态ACL本身是就是host的。
注意事项:
1、autocommand 整个命令必须打全!用?也看不到!而且打错了不提示!
2、在每个访问控制列表中只能创建一个动态的访问控制列表。
