网络安全之ACL访问控制列表Word文档下载推荐.docx
《网络安全之ACL访问控制列表Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络安全之ACL访问控制列表Word文档下载推荐.docx(17页珍藏版)》请在冰豆网上搜索。
也称为标准访问控制列表,只根据报文的源IP地址信息制定匹配规则。
●高级ACL(序号为3000~3999):
也称为扩展访问控制列表,根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。
其中3998与3999是系统为集群管理预留的编号,用户无法配置。
●二层ACL(序号为4000~4999):
根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规则。
●用户自定义ACL(序号为5000~5999):
可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
【命令介绍】
1.定义基本ACL,并进入相应的ACL视图
aclnumberacl-number
删除指定的ACL,或者删除全部ACL的命令:
undoacl{all|numberacl-number}
〖视图〗
系统视图
〖参数〗
●numberacl-number:
ACL序号,基本IPv4ACL的序号取值范围为2000~2999,高级IPv4ACL的序号取值范围为3000~3999。
2.定义基本ACL规则
(1)指定要匹配的源IP地址范围。
(2)指定动作是permit或deny。
rule[rule-id]{deny|permit}[rule-string]
删除ACL规则或者规则中的某些属性信息的命令:
undorulerule-id[fragment|source|time-range]*
基本ACL视图
●rule-id:
ACL规则编号,取值范围为0~65534。
●deny:
表示丢弃符合条件的数据包。
●permit:
表示允许符合条件的数据包通过。
●rule-string:
ACL规则信息,包括:
(1)fragment:
分片信息。
定义规则仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。
(2)source{sour-addrsour-wildcard|any}:
指定基本ACL规则的源地址信息。
sour-addr表示报文的源IP地址,采用点分十进制表示;
sour-wildcard表示目标子网的反掩码,采用点分十进制表示,sour-wildcard可以为0,代表主机地址;
any表示任意源IP地址。
(3)time-rangetime-name:
指定规则生效的时间。
time-name:
指定规则生效的时间段名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,时间段的名字不可以使用英文单词all。
通配符掩码,也称反掩码,和子网掩码相似,也是由0和1组成的32位bit,以点分十进制形式表示。
反掩码的作用是通过与IP地址执行比较操作来标识网络,和子网掩码不同的是,反掩码的比特序列中,1表示“相应的地址位不需要检查”,0表示“相应的地址位必须被检查”。
通配符掩码应用示例
IP地址
通配符掩码
表示的地址范围
192.168.0.1
0.0.0.255
192.168.0.0/24
0.0.3.255
192.168.0.0/22
0.255.255.255
192.0.0.0/8
0.0.0.0
〖例〗创建基本ACL2000,定义规则1,禁止源IP地址为192.168.0.1的报文通过。
<
H3C>
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[H3C]aclnumber2000
[H3C-acl-basic-2000]rule1denysource192.168.0.10
[H3C-acl-basic-2000]quit
3.在端口上应用ACL
将ACL应用到端口上,配置的ACL包过滤才能生效,并且需要指明在接口上应用的方向是Outbound还是Inbound
packet-filter{inbound|outbound}acl-rule
取消ACL在端口上的应用的命令:
undopacket-filter{inbound|outbound}acl-rule
以太网端口视图
●inbound:
表示对端口接收的数据包进行过滤。
●outbound:
表示对端口发送的数据包进行过滤。
●acl-rule:
应用的ACL规则,可以是多种ACL的组合。
例如,
(1)单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则:
ip-groupacl-number
(2)单独应用一个IP型ACL中的一条规则:
ip-groupacl-numberrulerule-id
〖例〗端口Ethernet1/0/1上应用基本ACL2000中的所有规则,对端口接收的数据包进行过滤。
假设基本ACL2000已经创建并且相关规则已经存在。
[H3C]interfaceEthernet1/0/1
[H3C-Ethernet1/0/1]packet-filterinboundip-group2000
[H3C-Ethernet1/0/1]quit
4.ACL包过滤信息显示
(1)显示ACL的配置信息。
displayacl{all|acl-number}
任意视图
需要注意的是,如果用户在配置ACL的时候指定了match-order参数,则在使用displayacl命令时,显示的是交换机按照auto(深度优先)或config(配置顺序)对ACL中的规则进行排序后的结果。
〖例〗显示基本ACL2000的配置信息。
Sysname>
displayacl2000
BasicACL
2000,3rules,match-orderisauto
Thisaclisusedineth1/0/1
Acl'
sstepis1
rule3permitsource3.3.3.00.0.0.255
rule2permitsource2.2.0.00.0.255.255
rule1permitsource1.0.0.00.255.255.255
displayacl命令显示信息描述表
字段
描述
2000
该ACL属于基本ACL,序号为2000
3rules
该基本ACL包含3条规则
Match-orderisauto
该基本ACL的匹配顺序为“深度优先”,如果不显示此字段,则表示匹配顺序为config(配置顺序)
该基本ACL的描述信息
该基本ACL的规则序号的步长值为1
Rule3permitsource3.3.3.00.0.0.255
该基本ACL包含的规则的详细信息
5、显示包过滤的应用信息
displaypacket-filter{interface
interface-typeinterface-number}
●interfaceinterface-typeinterface-number:
端口类型和端口编号。
●unitidunit-id:
交换机的UnitID。
如果交换机没有形成Fabric(交换机互连,构成一个“联合设备”),则unit-id参数的取值只能为1,表示显示当前交换机上所有端口的包过滤的应用信息;
如果交换机已经形成Fabric,则unit-id参数的取值范围为1~8,表示显示指定Unit上所有端口的包过滤的应用信息。
〖例〗交换机没有形成Fabric,显示当前交换机所有端口上包过滤的应用信息。
displaypacket-filterunitid1
Ethernet1/0/1
Inbound:
Acl2000rule0
running
Ethernet1/0/2
Outbound:
Acl2001rule0
notrunning
displaypacket-filter命令显示信息描述表
应用包过滤的端口
Inbound
应用包过滤的方向,包含以下两种:
Inbound:
表示入方向;
Outbound:
表示出方向
Acl2000rule0
过滤规则为基本ACL2000的0号规则
Running
规则的下发状态,包含以下两种:
running:
表示激活;
notrunning:
表示没有激活,通常是由于此规则引用的时间段不生效所致
6、进入单一用户界面视图或多个用户界面视图
user-interface[type]first-number[last-number]
〖视图〗系统视图
〖参数〗
●type:
指用户界面的类型,包括AUX用户界面和VTY用户界面。
指定type参数时还应该给该类型中的用户界面编号,当用户界面类型为AUX时,取值为0;
当用户界面类型为VTY时,取值范围为0~4。
如果不指定type参数,则表示绝对用户界面编号,取值范围为0~5。
●first-number:
需要配置的第一个用户界面。
●last-number:
需要配置的最后一个用户界面,取值必须大于first-number。
〖例1〗从系统视图进入VTY0用户界面进行配置。
[H3C]user-interfacevty0
[H3C-ui-vty0]
〖例2〗从系统视图同时进入VTY0~VTY3用户界面进行配置。
[H3C]user-interfacevty03
[H3C-ui-vty0-3]
7、设置登录用户的认证方式。
authentication-mode{none|password|scheme}
【视图】用户界面视图
【参数】
none:
不需要认证。
password:
进行口令认证。
scheme:
进行本地或远端用户名和口令认证。
【例】在VTY用户界面视图下,设置通过VTY0登录交换机的Telnet用户不需要进行认证。
[H3C-ui-vty0]authentication-modenone
8、设置从用户界面登录后可以访问的命令级别。
userprivilegelevellevel
undouserprivilegelevel
level:
从用户界面登录后可以访问的命令级别,取值范围为0~3。
缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级。
命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3,说明如下:
访问级(0级):
用于网络诊断等功能的命令。
包括ping、tracert、telnet等命令,执行该级别命令的结果不能被保存到配置文件中。
监控级(1级):
用于系统维护、业务故障诊断等功能的命令。
包括debugging、terminal等命令,执行该级别命令的结果不能被保存到配置文件中。
系统级(2级):
用于业务配置的命令。
包括路由等网络层次的命令,用于向用户提供网络服务。
管理级(3级):
关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。
包括文件系统、、XModem下载、用户管理命令、级别设置命令等。
【例】在VTY用户界面视图下,设置从VTY0用户界面登录后可以访问的命令级别为1。
[H3C-ui-vty0]userprivilegelevel1
9、配置用户界面支持的协议。
protocolinbound{all|telnet}
【视图】VTY用户界面视图
all:
支持所有的协议。
telnet:
支持Telnet协议。
【例】配置VTY0用户界面只支持Telnet协议.
[H3C-ui-vty0]protocolinboundtelnet
10、设置本地认证的口令。
setauthenticationpassword{cipher|simple}password
undosetauthenticationpassword
【参数】cipher:
设置本地认证口令以密文方式存储。
simple:
设置本地认证口令以明文方式存储
口令字符串。
如果验证方式是simple,则password必须是明文口令。
如果验证方式是cipher,则用户在设置password时有两种方式:
(1)一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式;
(2)另一种是直接输入24字符的密文口令,这种方式要求用户必须知道其对应的明文形式。
如:
明文“123456”对应的密文是“OUM!
K%F<
+$[Q=^Q`MAF4<
1!
!
”。
【实验内容】
实验1基本ACL实现
一、实验需求
以三层交换机连接档案室、经理办公室以及网络中心的设备为例,在交换机上划分VLAN3、VLAN4、VLAN5三个VLAN,分别把Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分配给3个VLAN,连接档案室、经理办公室以及网络中心三个部门的PC。
公司内部网络地址是10.1.0.0/16,档案室获得的网络地址是10.1.3.0/24,经理办公室的网络地址是10.1.4.0/24,网络中心的网络地址是10.1.5.0/24,实验拓扑如图5.9所示。
配置基本ACL,实现档案室的PC1只允许经理办公室的PC2访问,而不允许网络中心的PC3访问。
二、拓扑图
三、实验步骤
1、按拓扑图连接好设备,IP地址规划如下表:
设备名称
端口
网关
PC1(档案室)
10.1.3.16/24
10.1.3.254/24
PC2(经理办公室)
10.1.4.16/24
10.1.4.254/24
PC3(网络中心)
Ethernet1/0/3
10.1.5.16/24
10.1.5.254/24
交换机SWA
VLAN3
VLAN4
VLAN5
2、完成三个VLAN之间的互通:
创建VLAN3,将端口Ethernet1/0/1加入到VLAN3,并按IP地址规划表配置VLAN3接口IP地址;
创建VLAN4,将端口Ethernet1/0/2加入到VLAN4,并按IP地址规划表配置VLAN4接口IP地址;
创建VLAN5,将端口Ethernet1/0/3加入到VLAN5,并按IP地址规划表配置VLAN5接口IP地址。
3、在交换机上定义基本ACL2000,定义规则1禁止网络中心访问档案室,定义规则2允许经理办公室访问档案室。
4、将ACL2000应用于连接档案室的Ethernet1/0/1出方向的包过滤。
5、验证ACL作用。
①在交换机上通过display来查看ACL包过滤信息。
②在PC2上使用Ping命令来测试从PC2到PC1的可达性。
③在PC3上使用Ping命令来测试从PC3到PC1的可达性。
实验2高级ACL实现
除了网络管理员,不允许普通用户能telnet到网络设备。
基本ACL只能过滤特定源IP地址的数据包,如果要针对IP承载的协议特征进行访问控制,则需要使用高级ACL。
因此,定义的高级ACL应包含两条规则:
检查访问网络设备(交换机或路由器)的数据包,一条规则匹配网络管理员PC的IP地址,他能够进行telnet操作,动作是permit;
另一条规则匹配其他部门IP地址,动作是deny。
二、高级ACL的命令介绍
1.定义规则
(1)指定要匹配的源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息。
rule[rule-id]{deny|permit}protocol[rule-string]
删除ACL规则或者规则中的某些属性信息的命令:
undorulerule-id
[destination|destination-port|dscp|fragment|icmp-type|precedence|source|source-port|time-range|tos]*
高级ACL视图
●protocol:
IP承载的协议类型。
用数字表示时,取值范围为1~255;
用名字表示时,可以选取gre(47)、icmp
(1)、igmp
(2)、ip、ipinip(4)、ospf(89)、tcp(6)、udp(17)。
ACL规则信息,主要有:
(1)source{sour-addrsour-wildcard|any}:
sour-addrsour-wildcard用来确定数据包的源地址,点分十进制表示;
any代表任意源地址。
(2)destination{dest-addrsour-wildcard|any}:
dest-addrsour-wildcard指定规则的目的IP地址,点分十进制表示;
(3)precedenceprecedence:
报文IP的优先级,用数字表示时,取值范围为0~7。
(4)dscpdscp:
报文DSCP优先级,用数字表示时,取值范围为0~63。
(5)tostos:
报文ToS优先级,用数字表示时,取值范围为0~15。
(6)time-rangetime-name:
当protocol协议类型选择为TCP或者UDP时,用户还可以定义:
●source-portoperatorport1[port2]:
定义UDP/TCP报文的源端口信息。
●destination-portoperatorport1[port2]:
定义UDP/TCP报文的目的端口信息。
operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在指定范围内)。
port1、port2:
TCP或UDP的端口号,用名字或数字表示,数字的取值范围为0~65535。
established:
表示此条规则仅对TCP建立连接的第一个SYN报文有效。
〖例〗创建高级ACL3001,定义规则1,允许从129.9.0.0/16网段的主机向202.38.160.0/24网段的主机发送的目的端口号为80的TCP报文通过。
[H3C]aclnumber3001
[H3C-acl-adv-3001]rule1permittcpsource129.9.0.00.0.255.255destination202.38.160.0