Cisco VLAN ACL配置及详解Word文档下载推荐.docx
《Cisco VLAN ACL配置及详解Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Cisco VLAN ACL配置及详解Word文档下载推荐.docx(10页珍藏版)》请在冰豆网上搜索。
对于路由器接口而言,ACL是有两个方向:
注意:
如果发现没有匹配的ACL规则,默认会丢弃该数据包,思科ACL规则默认会有一条隐藏的denyanyany规则,而华三ACL规则默认是permitanyany规则。
入站----如果是入站访问列表,则当路由器接收到数据包时,CiscoIOS软件将检查访问列表中的条件语句,看是否有匹配。
如果数据包被允许,则软件将继续处理该数据包。
如果数据包被拒绝,则软件会丢弃该数据包。
出站----如果是出站访问列表,则当软件到接收数据包并将群其路由至出站接口后,软件将检查访问列表中的条件语句,看是否有匹配。
如果数据包被允许,则软件会发送该数据包。
4.ACL两种类型:
标注:
允许在标准ACL和扩展ACL中使用名称代替访问控制列表号。
4.1标准的ACL
根据数据包的源IP地址来控制允许转发或拒绝数据包,访问控制列表号1~99。
标准访问控制列表配置命令如下:
Router(config)#access-listaccess-list-number{permit|deny}source[souce-wildcard]
或者
Router(config)#ipaccess-liststandardaccess-list-number
Router(config-std-nacl)#SequenceNumber{permit|deny}source[souce-wildcard]
下面是命令参数的详细说明
access-list-number:
访问控制列表号,标准ACL取值是1-99,可以使用名称替代列表号。
SequenceNumber:
每条ACL规则列表序列号,可使用范围1-2147483647。
permit|deny:
如果满足规则,则允许/拒绝通过。
source:
数据包的源地址,可以是主机地址,也可以是网络地址
4.2扩展的ACL
根据数据包的源IP地址、目的IP地址、指定协议,端口、标志和时间来控制允许转发或拒绝数据包,访问控制列表号100~199
扩展访问控制列表配置命令如下:
Router(config)#access-listaccess-list-number{permit|deny}protocol{sourcesouce-wildcarddestinationdestination-wildcard}[operatoroperan]
Router(config)#ipaccess-listextendedaccess-list-number
Router(config-std-nacl)#{permit|deny}protocol{sourcesouce-wildcarddestinationdestination-wildcard}[operatoroperan]
访问控制列表号,扩展ACL取值100-199,可以使用名称替代列表号。
permit|deny:
protocol:
用来指定协议的类型,如IP,TCP,UDP,ICMP等。
source、destination:
源和目的,分别用来标示源地址和目的地址。
souce-wildcard、destination-wildcard:
子网反码,souce-wildcard是源反码,destination-wildcard是目标反码。
operatoroperan:
lt(小于)、gt(大于)、eq(等于)、neq(不等于)、rand(范围端口号)等。
5.ACL应用分类:
PortACL基于MAC的ACL
ACL应用在二层接口上,但二层接口只支持in方向,一个接口只能使用一条ACL规则,IP或MAC的ACL都可以应用到二层接口,但不能应用到端口聚合(EtherChannel)
VLANACL基于VLAN的ACL
使用VLAN与VLAN之间的ACL,相同的VLAN也是可以过滤,只要流量进入或离开指定的VLAN都会被过滤,可以同时控制二层与三层流量。
VLANACL只是VLAN调用了ACL规则,in或out的VLAN流量都会被检测,无论是通过二层转发还是三层转发。
VLANACL是不能定义方向的,
虽然VLNA调用ACL规则会有in或out选项,但只针对VLAN源地址和目标地址而言。
VLAN调用ACL是不能实现vlan10ping不通vlan20,
但vlan20ping通vlan10类似的功能,除非交换机支持自反ACL规则。
RouterACL基于IP的ACL
ACL应用到三层接上,但只能是IPACL,不能是MACACL,RouterACL是in和out方向都可以使用,每个接口每个方向只能使用一条ACL规则。
TimeACL基于时间的ACL
TimeACL是在原来的ACL规则上增加的功能,可以应用于二层或三层,在原来的ACL规则和时间相结合使用,控制起来将更加灵活多变。
6.实例(VLANACL)
配置VLAN
ACL需要注意以下问题:
1、VLANACL不能具体定义入站和出站规则,VLANACL的in和out是针对VLAN的本身而言,ACL源地址与应用的VLAN相同网段时,
就使用in方向,如果ACL目标地址与应用的VLAN相同网段时,就使用out方向。
2、当数据包匹配思科ACL规则发现没有匹配的规则,则会匹配思科ACL默认一条隐藏的denyanyany规则,默认丢弃该数据包。
3、如果你删除access-list-number访问控制列表号,则access-list-number里的所有会被清除,建议进入每条access-list-number
后在根据需求删除相应的序列号。
4、ACL规则是按从上到下进行匹配,如果先匹配了后面就不会再进行匹配。
7.设计思路:
1、一台核心思科3560交换机,三台汇聚思科2960交换机
2、3560交换机配置VTP、VLAN、trunk
3、VLAN30服务器192.168.30.30开启www服务,服务器192.168.30.31开启ftp
8.实验拓扑图:
10.配置
(1)核心交换机3560SW
##配置VTP服务器
3650SW>
enable
3650SW#vlandatabase
3650SW(vlan)#vtpdomainCCTV
3650SW(vlan)#vtpserver
##创建VLAN
3650SW(vlan)#vlan10nameVLAN10
3650SW(vlan)#vlan20nameVLAN20
3650SW(vlan)#vlan30nameVLAN30
3650SW(vlan)#exit
##配置VLANIP地址
3650SW#configureterminal
3650SW(config)#interfacevlan10
3650SW(config-if)#ipaddress192.168.10.1255.255.255.0
3650SW(config-if)#exit
3650SW(config)#interfacevlan20
3650SW(config-if)#ipaddress192.168.20.1255.255.255.0
3650SW(config)#interfacevlan30
3650SW(config-if)#ipaddress192.168.30.1255.255.255.0
##开启三层交换机默认路由
3560SW(config)#iprouting
#设置端口汇聚(trunk)
3650SW(config)#interfacerangefastEthernet0/22-24
3650SW(config-if-range)#3650SWporttrunkencapsulationdot1q
3650SW(config-if-range)#3650SWportmodetrunk
3650SW(config-if-range)#noshutdown
3650SW(config-if-range)#exit
(2)2960交换机SW01
##配置VTP客户端
SW01#vlandatabase
SW01(vlan)#vtpdomainCCTV
SW01(vlan)#vtpclient
SW01(vlan)#exit
##设置端口汇聚(trunk)
SW01#configureterminal
SW01(config)#interfacefastEthernet0/24
SW01(config-if)#switchportmodetrunk
SW01(config-if)#noshutdown
SW01(config-if)#exit
##分配VLAN所属端口
SW01(config)#interfacerangefastEthernet0/1-5
SW01(config-if-range)#switchportaccessvlan10
SW01(config-if-range)#switchportmodeaccess
SW01(config-if-range)#noshutdown
SW01(config-if-range)#exit
(3)2960交换机SW02
SW01(config-if-range)#switchportaccessvlan20
(4)2960交换机SW03
SW01(config-if-range)#switchportaccessvlan30
重要操作*******核心交换机3560SW配置ACL规则***********
黑名单和白名单
1、默认设置黑名单,再设置白名单。
(如果ACL规则限制多推荐使用)
2、默认设置白名单,再设置黑名单。
(如果ACL规则限制少推荐使用)
###查看ACL规则的相关命令
3650W#showipaccess-lists
3650W#showipaccess-lists102
3650W#showrunning-config
###删除ACL规则的相关命令
3650W(config)#ipaccess-listextended101
3650W(config-ext-nacl)#no20
***操作实验1:
默认设置黑名单,再设置白名单***
同网段的主机无法限制,扩展ACL是按顺序执行
###创建三条扩展ACL分别是禁止所有访问
3650W#configureterminal
3650W(config-ext-nacl)#1000denyipanyany
3650W(config)#ipaccess-listextended102
3650W(config)#ipaccess-listextended103
###创建的扩展ACL分别应用到不同的VLAN
3650W(config)#interfacevlan10
3650W(config-if)#ipaccess-group101in
3650W(config)#interfacevlan30
3650W(config-if)#ipaccess-group103in
3650W(config)#interfacevlan20
3650W(config-if)#ipaccess-group102in
1、配置192.168.10.10主机只允许与192.168.30.30主机相互访问
3650W(config-ext-nacl)#10permitiphost192.168.10.10host192.168.30.30
3650W(config-ext-nacl)#10permitiphost192.168.30.30host192.168.10.10
2、配置vlan10与vlan30所有主机相互访问
3650W(config-ext-nacl)#20permitip192.168.10.00.0.0.255192.168.30.00.0.0.255
3650W(config-ext-nacl)#20permitip192.168.30.00.0.0.255192.168.10.00.0.0.255
3、配置vlan10所有主机只允许与vlan30的192.168.30.30主机相互访问
3650W(config-ext-nacl)#30permitip192.168.10.00.0.0.255host192.168.30.30
3650W(config-ext-nacl)#30permitiphost192.168.30.30192.168.10.00.0.0.255
4、配置192.168.30.30主机80端口只允许vlan10的所有主机访问(不能反向访问192.168.10.10的80和21端口)
3650W(config-ext-nacl)#40permittcp192.168.10.00.0.0.255host192.168.30.30eqwww
3650W(config-ext-nacl)#40permittcphost192.168.30.30192.168.10.00.0.0.255
5、配置192.168.30.30主机80/21端口只允许192.168.10.10主机访问(不能反向访问192.168.10.10的80和21端口)
3650W(config-ext-nacl)#50permittcphost192.168.10.10host192.168.30.30range8021
3650W(config-ext-nacl)#50permittcphost192.168.30.30host192.168.10.10
***操作实验2:
默认设置白名单,再设置黑名单***
###创建一条扩展ACL分别是允许所有访问
3650W(config-ext-nacl)#1000permitipanyany
3650W(config-if)#ipaccess-group103out
1、禁止vlan10vlan20所有主机不能访问192.168.30.30主机的80端口,但允许192.168.30.30.主机去访问任何主机的80端口
3650W(config-ext-nacl)#10denytcpanyhost192.168.30.30eqwww
2、禁止192.168.30.30.主机去访问vlan10和vlan20任何主机的80端口
3650W(config-ext-nacl)#20denytcphost192.168.30.30anyeqwww