思科交换机的ACL配置汇总练习
来源:互联网 发布:网络街机捕鱼游戏技巧 编辑:程序博客网 时间:2024/05/09 22:20
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。
[b]利用标准ACL控制网络访问[/b]
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。
标准ACL的配置语句为:
Switch#access-list access-list-number(1~99) {permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}
例1:允许192.168.3.0网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:允许所有IP的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。
[b]利用扩展ACL控制网络访问[/b]
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。
扩展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permit|deny} protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-number]
例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
[b]基于端口和VLAN的ACL访问控制[/b]
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。
配置语句为:
Switch# acess-list port
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。
配置语句:
Switch#acess-list vlan [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny
另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态 允许;
Standard IP access list: //IP 访问列表;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //允许其它网络访问。
若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换机作为网络通信出入口的重要控制点,发挥其应有的作用。而正确地配置ACL访问控制列表实质将部分起到防火墙的作用,特别对于来自内部网络的攻击防范上有着外部专用防火墙所无法实现的功能,可大大提升局域网的安全性能。
[b]新手入门[/b]
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。它主要有三个方面的功能:
◆ 限制网络流量、提高网络性能。例如:ACL可以根据数据包的协议,指定这种类型的数据包的优先级,同等情况下可与先被交换机处理。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主机访问同样的资源。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,允许网络的E-mail被通过,而阻止FTP通信。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。ACL的访问规则主要用三种:
◆ 标准访问控制列表,可限制某些IP的访问流量。
◆ 扩展访问控制列表,可控制某方面应用的访问。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制。
[b]利用标准ACL控制网络访问[/b]
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。
标准ACL的配置语句为:
Switch#access-list access-list-number(1~99) {permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}
例1:允许192.168.3.0网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:允许所有IP的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。
[b]利用扩展ACL控制网络访问[/b]
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。
扩展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permit|deny} protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-number]
例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
[b]基于端口和VLAN的ACL访问控制[/b]
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。
配置语句为:
Switch# acess-list port
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。
配置语句:
Switch#acess-list vlan [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny
另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态 允许;
Standard IP access list: //IP 访问列表;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //允许其它网络访问。
若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换机作为网络通信出入口的重要控制点,发挥其应有的作用。而正确地配置ACL访问控制列表实质将部分起到防火墙的作用,特别对于来自内部网络的攻击防范上有着外部专用防火墙所无法实现的功能,可大大提升局域网的安全性能。
[b]新手入门[/b]
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。它主要有三个方面的功能:
◆ 限制网络流量、提高网络性能。例如:ACL可以根据数据包的协议,指定这种类型的数据包的优先级,同等情况下可与先被交换机处理。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主机访问同样的资源。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,允许网络的E-mail被通过,而阻止FTP通信。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。ACL的访问规则主要用三种:
◆ 标准访问控制列表,可限制某些IP的访问流量。
◆ 扩展访问控制列表,可控制某方面应用的访问。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制。
0
上一篇:网络层访问权限控制技术-ACL详解
下一篇:动态ACL配置详解
相关热门文章
- 2013年度颁奖盛典:chinaunix...
- C笔试面试汇总
- GMAT阅读词汇障碍解除魔咒...
- SAT句子改错练习题(含答案解析...
- 建造合同的类型
- 承接自动化测试培训、外包、实...
- Solaris PowerTOP 1.0 发布
- For STKMonitor
- busybox的httpd使用CGI脚本(Bu...
- 项目小体会
- 请教想查12个月的数据条数,看...
- new/delete 和malloc/free 有...
- ubuntu下hadoop环境的搭建...
- 求助:如何用Linux架设ISATAP...
- redhat图形界面不出先登录界面...
给主人留下些什么吧!~~
评论热议
- 思科交换机的ACL配置汇总练习
- Cisco交换机ACL的配置
- 思科cisco交换机VLAN的配置
- S3610_S5510系列交换机IPv4 ACL的配置
- 华为交换机ACL配置的一些东西
- 思科交换机配置命令
- 思科交换机配置命令
- 思科交换机配置telnet
- 思科交换机配置命令
- 思科交换机防火墙配置
- 思科交换机基本配置
- 思科交换机出厂配置
- 思科CISCO ACL配置详解
- 思科的层次交换机
- 思科交换机配置命令大全
- 优化思科交换机端口配置
- 思科交换机Line配置模式
- 思科交换机配置命令大全!
- Cisco IOS Cookbook 中文精简版(11-14)
- Cisco IOS Cookbook 中文精简版(16-23)
- Cisco访问控制列表详解(ACL)
- CISCO2600 NAT+ACL简单配置
- 网络层访问权限控制技术-ACL详解
- 思科交换机的ACL配置汇总练习
- 动态ACL配置详解
- S3610_S5510系列交换机IPv4 ACL的配置
- 奥运正式闭幕 谷歌奥运生肖系列LOGO回顾(图)
- Windows下自动备份的实现
- ipfw中文man
- 视频VGA视频信号连接方式
- IOGEAR推出易携式的USB KVM
- 一款网络监控软件--ntop
原创粉丝点击
热门IT博客
热门问题
老师的惩罚
人脸识别
我在镇武司摸鱼那些年
重生之率土为王
我在大康的咸鱼生活
盘龙之生命进化
天生仙种
凡人之先天五行
春回大明朝
姑娘不必设防,我是瞎子
如何煲老鸭汤
鸡煲什么汤
怎么煲乌鸡汤
煲羊肉汤
如何煲乌鸡汤
煲鸽子汤
鸭可以煲什么汤
砂锅煲鸡汤的做法
秋天煲什么汤给小孩喝好
咸汤
莲藕煲什么汤
拌汤
排骨煲什么汤
美食菜谱汤
乌鸡煲什么汤
如何煲羊肉汤
雪梨可以煲什么汤
猪横脷煲鸡骨草汤
莲藕可以煲鸡汤吗
月经期间煲什么汤
冬瓜可以煲什么汤
怎样煲银耳莲子汤
羊肉粉汤做法
瘦肉可以煲什么汤
排骨煲什么汤好
冬天煲什么汤好
孕妇煲什么汤
土茯苓煲鸭汤
猪脚汤怎么煲
鱼煲什么汤
盅汤
节瓜瑶柱煲瘦肉汤
鲫鱼可以煲什么汤
鸡肉可以煲什么汤
老鸭煲汤
粟子煲鸡汤
猪肺煲什么汤好
煲煲猪脚姜
霸王花煲瘦肉汤
怎么煲羊肉汤
煲鱼头汤