第三部分 访问控制
1.RACL
针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。
在交换机中,用户可以在任何路由接口中应用RACL,其中包括如下接口:
*SVI(交换虚拟接口vlan端口)
*第3层端口或路由端口
*第3层端口通道
*其它第3层接口
2.VACL
VACL又称为VLAN访问映射表,应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤,也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样,vacl中条目的顺序并非无关紧要。VACL不定义方向(进或出)。一个VACL可以用于多个VLAN中;但一个VLAN只能与一个VACL关联。
支持多种VACL操作:
* 转发(允许):这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器(SPAN)选项,必须采用带capture选项的转发操作;SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备(如第三方IDS设备)很有用。
* 丢弃(拒绝):流与某个ACL丢弃(拒绝)条目匹配后,将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配,且至少配置了一个针对数据包类型的ACL,则流中的数据包将被丢弃
* 重定向:VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。
配置方法:
1) 定义访问控制列表(标准、扩展、命名)
a.标准访问控制列表
access-list 列表编号 deny|permit 源地址 反掩码 [log]
* 列表编号:1-99
* deny:拒绝
* permit:允许
* 源地址:控制访问的源头
* 反掩码:any 是指任意主机,host是指某台主机
* log:记录到日志文件
案例:
Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
Switch(config)# end
Switch# show access-lists
Standard IP access list 2
10 deny 171.69.198.102
20 permit any
b.扩展访问控制列表
access-list 列表编号 deny|permit 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] [表达式]
* 列表编号:100-199
* 协议:IP、TCP、UDP、ICMP等,协议选项是区别标准访问列表的特征之一
* 表达式:eq 协议或端口号:等于协议或端口号
gq 协议或端口号:小于指定的协议或端口号
lq 协议或端口号:大于指定的协议或端口号
案例:
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
Switch(config)# end
Switch# show access-lists
Extended IP access list 102
10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
20 permit tcp any any
c.命名访问控制列表
命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句,而编号访问控制列表只能删除整个访问控制。
Ip access-list [standard|extended] 名称
Permit|deny 标准和扩展有所不同
案例:
Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
2) 定义VACL映射表
vlan access-map 名称
a) 匹配指定的IP访问控制列表 match ip address 访问列表号
匹配指定的mac访问控制列表 match mac address 访问控制列表
b) 指定对符合条件的流量进行何动作 action drop|forward
案例:
switch(config)#vlan access-map test
switch(config-access-map)#match ip address 101
switch(config-access-map)#action forward
3) 将VACL映射表应用到某个VLAN
vlan filter 映射表名称 vlan-list vlan列表
案例:
vlan filter test vlan-list 10
4) 验证结果
show vlan access-map 名称
Switch#show vlan access-map
Vlan access-map "test" 10
Match clauses:
ip address: 100
Action:
drop
Vlan access-map "test" 20
Match clauses:
Action:
forward
---------------------------------------------------
show vlan filter access-map 名称 | vlan vlan号
Switch#show vlan filter
VLAN Map test is filtering VLANs:
11-13
案例:
主机X和主机Y位于不同的VLAN,交换机B已经对这两个VLAN做了vlan间的路由
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map2 10
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# ip access-list extended match_all
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map2 20
Switch(config-access-map)# match ip address match_all
Switch(config-access-map)# action forward
Switch(config)# vlan filter map2 vlan 1
要注意vlan间的acl和vacl之间的区别
3.PACL
通过控制端口级别的流量,PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。
在使用PACL的时候,能够在第2层接口上应用如下的ACL:
* 标准访控(针对源IP地址)
* 扩展访控(针对源IP地址和目标IP地址以及用于第4层协议类型信息)
* MAC扩展访控(针对源和目标MAC地址,还可以使用第3层协议类型信息)
当PACL应用于trunk端口上时,ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候,ACL将过滤数据和语音VLAN的流量。
对于PACL,通过采用IP访问控制列表,将能够过滤IP流量,通过采用MAC访问控制列表,将能够过滤非IP流量。此外,通过在接口上应用IP访问控制列表和MAC访问列表,将能够过滤相同的第2层接口上IP流量和非IP流量。
配置MAC扩展访控:
1)进入全局模式 configure terminal
2)定义mac扩展访控名称
mac access-list extended 名称
3) 定义相应访问控制列表语句
deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos]
4) 应用访问控制列表到第2层接口
进入接口模式 interface 接口
应用访控 mac access-group 访控名称 in
对于端口ACL而言,只有进入的方向可以加访控
5) 验证结果
show access-lists [列表号|名称]
show access-group [interface 接口]
案例:
switch#configure terminal
switch(config)#mac access-list extended cisco
switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.1111
switch(config-ext-macl)#exit
switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.2
switch(config)#access-list 101 permit ip any any
switch(config)#interface f0/23
switch(config-if)#switchport mode trunk
switch(config-if)#ip access-group 101 in
switch(config-if)#mac access-group cisco in
switch(config-if)#end
switch#show access-lists
switch#show access-group interface f0/23
案例:
CCIE-LAB(v133)
题目要求:
Assume that connected to port f0/15 on SW1 is a host sending Ethernet Type 6000 frames into the network configures an access-list to block only this traffic allowing other frames to enter into the network.Please use “Block_eth6000” as the name of access-list.
配置:
SW1
configure terminal
mac access-list extended Block_eth6000
deny any any etype-6000
permit any any
interface f0/15
switchport mode access
mac access-group Block_eth6000 in
本文出自 “无聊生活,积极面对” 博客,转载请与作者联系!