安全典型配置(三)使用ACL禁止特定用户上网案例
【微|信|公|众|号:厦门微思网络】
安全典型配置(一)使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。https://blog.csdn.net/XMWS_IT/article/details/133700430?spm=1001.2014.3001.5501
安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限_厦门微思网络的博客-CSDN博客访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。https://xmws-it.blog.csdn.net/article/details/133791003?spm=1001.2014.3001.5502
ACL简介
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。二层ACL根据以太网帧头信息来定义规则,如源MAC地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。与基本ACL和高级ACL相比,这两类ACL基于三层、四层信息进行报文过滤,而二层ACL基于二层信息进行报文过滤。例如,当希望对不同MAC地址、不同VLAN的报文进行过滤时,则可以配置二层ACL。
本例,就是将二层ACL应用在流策略模块,使设备可以对特定MAC地址的用户的报文进行过滤,达到禁止该用户上网的目的。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1所示,Switch作为网关设备,下挂用户PC,与各个子网之间路由可达。管理员发现PC1(MAC地址xxxx-xxxx-xxx1)用户是非法用户,要求禁止该用户上网。
图1 使用二层ACL禁止特定用户上网示例组网图
配置思路
采用如下的思路在Switch上进行配置:
-
配置二层ACL和基于ACL的流分类,使设备对MAC地址为xxxx-xxxx-xxx1的报文进行过滤,从而禁止该地址对应的用户上网。
-
配置流行为,拒绝匹配上ACL的报文通过。
-
配置并应用流策略,使ACL和流行为生效。
操作步骤
1、配置ACL
# 配置符合要求的二层ACL。
system-view
[HUAWEI] sysname Switch
[Switch] acl 4000
[Switch-acl-L2-4000] rule deny source-mac xxxx-xxxx-xxx1 ffff-ffff-ffff //禁止源MAC地址是xxxx-xxxx-xxx1的报文通过
[Switch-acl-L2-4000] quit
2、配置基于ACL的流分类
# 配置流分类tc1,对匹配ACL 4000的报文进行分类。
[Switch] traffic classifier tc1 //创建流分类
[Switch-classifier-tc1] if-match acl 4000 //将ACL与流分类关联
[Switch-classifier-tc1] quit
3、配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Switch] traffic behavior tb1 //创建流行为
[Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过
[Switch-behavior-tb1] quit
4、配置流策略
# 配置流策略tp1,将流分类tc1与流行为tb1关联。
[Switch] traffic policy tp1 //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
5、应用流策略
# 由于PC1的报文从GE2/0/1进入Switch并流向Internet,所以可以在接口GE2/0/1的入方向应用流策略tp1。
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向
[Switch-GigabitEthernet2/0/1] quit
6、验证配置结果
# 查看ACL规则的配置信息。
[Switch] display acl 4000
L2 ACL 4000, 1 rule
Acl's step is 5
rule 5 deny source-mac xxxx-xxxx-xxx1
# 查看流分类的配置信息。
[Switch] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Precedence: 5
Operator: OR
Rule(s) : if-match acl 4000
Total classifier number is 1
# 查看流策略的配置信息。
[Switch] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny
# 查看流策略的应用信息。
[Switch] display traffic-policy applied-record
#
-------------------------------------------------
Policy Name: tp1
Policy Index: 0
Classifier:tc1 Behavior:tb1
-------------------------------------------------
*interface GigabitEthernet2/0/1
traffic-policy tp1 inbound
slot 2 : success
-------------------------------------------------
Policy total applied times: 1.
#
【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽、ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】
