訪問控制列表(二)_第1頁
訪問控制列表(二)_第2頁
訪問控制列表(二)_第3頁
訪問控制列表(二)_第4頁
訪問控制列表(二)_第5頁
已閱讀5頁,還剩11頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、文檔類型: 文檔密級: 主送對象: 抄送對象: 文檔編號: 審 核 人: 2訪問控制列表的應(yīng)用位置1.在接口上調(diào)用已經(jīng)配置好的ACL 數(shù)據(jù)流是從交換機的接口出入,如果所配置的ACL想要發(fā)揮作用,就需要將配置好的ACL應(yīng)用在接口上,接口可以是物理接口也可以是SVI。應(yīng)用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進入接口的方向進行配置選擇ip access-list extended FOR_VLAN10 10 permit ip host 0 55 20 deny ip 55 0.0.

2、0.255 30 deny ip 55 55 31 deny ip 55 55 40 permit tcp 55 host eq www 50 deny ip 55 host 60 permit ip any any VLAN10數(shù)據(jù)流的源IP是0(VLAN 10網(wǎng)段)目的網(wǎng)段應(yīng)用在這兩個接口上只有OUT方向的A

3、CL才可以與數(shù)據(jù)流進行匹配接口上配置OUT方向的ACL會對流出該接口的數(shù)據(jù)流進行匹配 3訪問控制列表的應(yīng)用位置2.在什么設(shè)備上配置ACL 二層交換機(接入)、三層交換機(匯聚網(wǎng)關(guān))均支持ACL配置,那么在哪臺設(shè)備上應(yīng)用ACL呢?需要結(jié)合實際的需求來判斷將ACL應(yīng)用在什么層次的設(shè)備上 控制VLAN內(nèi)的數(shù)據(jù)流,則需要在接入交換機上配置ACLPC A0/24PC B0/24控制PC A無法訪問PC B將ACL應(yīng)用在該接口下,方向為in將ACL應(yīng)用在該接口下,方向為in哪種方式會起作用?為什么?ip access-list extended FOR_VLAN

4、10 10 deny ip host 0 host 0 20 permit ip any any 4訪問控制列表的應(yīng)用位置2.在什么設(shè)備上配置ACL 二層交換機(接入)、三層交換機(匯聚網(wǎng)關(guān))均支持ACL配置,那么在哪臺設(shè)備上應(yīng)用ACL呢?需要結(jié)合實際的需求來判斷將ACL應(yīng)用在什么層次的設(shè)備上 控制跨網(wǎng)段轉(zhuǎn)發(fā)的數(shù)據(jù)流,建議在匯聚網(wǎng)關(guān)上配置ACL,這樣可以減少配置量VLAN10如果將ACL配置在接入交換機上1.需要在多臺交換機上配置2.需要明確接入交換機哪個端口屬于VLAN10,哪個端口屬于VLAN20VLAN30VLAN40VLAN10VLAN20控

5、制VLAN 10內(nèi)的PC不能訪問VLAN 30 控制VLAN 20內(nèi)的PC不能訪問VLAN 40ip access-list extended FOR_VLAN10(為VLAN20配置的ACL略) 10 deny ip 55 55 20 permit ip any any VLAN20配置工作量較大,而且容易出錯 5訪問控制列表的應(yīng)用位置2.在什么設(shè)備上配置ACL 二層交換機(接入)、三層交換機(匯聚網(wǎng)關(guān))均支持ACL配置,那么在哪臺設(shè)備上應(yīng)用ACL呢?需要結(jié)合實際的需求來判斷將ACL應(yīng)用在什么層次的設(shè)備上 控制跨網(wǎng)段

6、轉(zhuǎn)發(fā)的數(shù)據(jù)流,建議在匯聚網(wǎng)關(guān)上配置ACL,這樣可以減少配置量VLAN10VLAN30VLAN40VLAN10VLAN20控制VLAN 10內(nèi)的PC不能訪問VLAN 30 控制VLAN 20內(nèi)的PC不能訪問VLAN 40ip access-list extended FOR_VLAN10(為VLAN20配置的ACL略) 10 deny ip 55 55 20 permit ip any any VLAN20在網(wǎng)關(guān)交換機的SVI下配置ACLRuijie(config)#int vlan 10Ruijie(config-VL

7、AN 10)#ip access-group FOR_VLAN10 inRuijie(config)#int vlan 20Ruijie(config-VLAN 20)#ip access-group FOR_VLAN20 in僅需要在網(wǎng)關(guān)交換機的網(wǎng)關(guān)SVI接口下配置,配置工作量大大減少,并方便維護 6訪問控制列表的應(yīng)用位置3.ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用 需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮 標準ACL(匹配源地址),在靠近報文目的的設(shè)備上進行配置內(nèi)部網(wǎng)絡(luò)PC APC B使用標準ACL控制PCA 不能訪問PC Bip access-list sta

8、ndard AtoB 10 deny 55 20 permit ip any any 0/240/24如果應(yīng)用在靠近數(shù)據(jù)源的設(shè)備上,會有什么問題? 7訪問控制列表的應(yīng)用位置3.ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用 需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮 擴展ACL(匹配目的地址),建議在靠近報文源的設(shè)備上進行配置內(nèi)部網(wǎng)絡(luò)PC APC B0/240/24使用擴展ACL控制PCA 不能訪問PC Bip access-list extended AtoB

9、 10 deny ip 55 55 20 permit ip any any 如果應(yīng)用在靠近數(shù)據(jù)目的的設(shè)備上,會有什么問題?不允許訪問的數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過多個設(shè)備轉(zhuǎn)發(fā)才在靠近目的的設(shè)備上被丟棄掉,實際上也是浪費了網(wǎng)絡(luò)資源 8訪問控制列表的應(yīng)用位置3.ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用 需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮 擴展ACL(匹配目的地址),建議在靠近報文源的設(shè)備上進行配置l如果想集中控制的話,也可以在報文目的設(shè)備上進行配置內(nèi)部網(wǎng)絡(luò)PC APC B0/241

10、0/24使用擴展ACL控制PCA和PC C 不能訪問PC Bip access-list extended toB 10 deny ip 55 55 20 deny ip 55 55 30 permit ip any any PC C0/24若需要控制很多源IP網(wǎng)段不能訪問PC B,則可考慮在靠近PC B的設(shè)備上應(yīng)用ACL,這樣可以減少配置工作量,實現(xiàn)集中管理 91樓接入交換機RG-S2652G1102寢室1203寢室宿

11、舍1區(qū)1號樓張導(dǎo)員辦公室/24Switch2樓接入交換機RG-S2652G宿舍1區(qū)匯聚交換機李強0/24VLAN 20VLAN 10VLAN 30趙導(dǎo)員辦公室VLAN 20/240/24周偉SwitchRG-S5750需要配置哪些ACL以及在哪臺設(shè)備上的什么接口進行配置? 10訪問控制列表的其他用途防病毒應(yīng)用 在實際中除了使用ACL控制網(wǎng)段之間的互訪外,還有一種比較常見的用法,就是封閉常見的病毒或木馬占用的端口,并在三層網(wǎng)關(guān)SVI接口下應(yīng)用,如下的防病毒ACL配置。 防病毒的ACL也可能會與某些應(yīng)用的端口號

12、重合,實施時需要注意 控制互訪和防病毒兩種應(yīng)用在實際中也多結(jié)合在一起,因此在配置的時候需要注意ACE的先后順序ip access-list extended antivirus 10 deny tcp any any eq 1068 20 deny tcp any any eq 5554 30 deny tcp any any eq 9995 40 deny tcp any any eq 9996 50 deny tcp any any eq 1022 60 deny tcp any any eq 1023 70 deny tcp any any eq 445 80 deny tcp any

13、any eq 135 90 deny tcp any any eq 4444 100 deny tcp any any eq 1080 110 deny tcp any any eq 3128 (省略部分)280 permit ip any any 11基于時間的ACL可以實現(xiàn)所配置的ACL只在一個特定的時間段內(nèi)生效 如在辦公時間(9:00-18:00)只允許訪問WEB網(wǎng)頁,其他應(yīng)用則被禁止。除了辦公時間外,任何網(wǎng)絡(luò)應(yīng)用都可以使用 注,類似這種基于時間的應(yīng)用控制,由于實際中涉及的應(yīng)用類型比較復(fù)雜,因此多在出口位置采用專用的設(shè)備進行控制 配置方法 1.正確配置設(shè)備時間l在#模式下使用clock

14、set命令設(shè)置 2.定義時間段 3.為ACL中的特定ACE關(guān)聯(lián)定義好的時間段 12基于時間的ACL可以實現(xiàn)所配置的ACL只在一個特定的時間段內(nèi)生效 配置方法 2.定義時間段Ruijie(config)#time-range WORK_TIMERuijie(config-time-range)#periodic ? Daily Every day of the week Friday Friday Monday Monday Saturday Saturday Sunday Sunday Thursday Thursday Tuesday Tuesday Wednesday Wednesday Weekdays Monday through Friday Weekend Saturday and SundayRuijie(config-time-range)#periodic weekdays 9:00 to 18:00 13基于時間的ACL可以實現(xiàn)所配置的ACL只在一個特定的時間段內(nèi)生效 配置方法 3.為ACL中的特定ACE關(guān)聯(lián)定義好的時間段l當不在WORK_TIME定義的時間范圍內(nèi),則所配置的兩條ACE語句不生效ip access-list extended OA 10 permit tcp any any eq www time-range WORK_TI

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論