分类: WINDOWS
2009-06-29 14:10:04
ACL; 访问控制列表的配置; .
要求及配置;
要求通过在Switch B上配置访问列表,实现以下安全功能:
192.168.12.0/24网段的主机只能在正常上班时间访问远程UNIX主机TELNET服务,拒绝PING服务。
在Switch B控制台上不能访问192.168.202.0/24网段主机的所有服务。
说明:
以上案例是银行系统应用的简化,即只允许分行或储蓄点局域网上的主机访问中心主机,不允许在设备上访问中心主机。
设备配置
Switch B的配置:
Ruijie(config)# interface GigabitEthernet 0/1
Ruijie(config-if)# ip address 192.168.12.1 255.255.255.0
Ruijie(config-if)# exit
Ruijie(config)# interface GigabitEthernet 0/2
Ruijie(config-if)# ip address
Ruijie(config-if)# ip access-group
Ruijie(config-if)# ip access-group 101 out
按照要求,配置一个编号为101的扩展访问列表
Ruijie(config)# access-list 101 permit tcp 192.168.12.0
Ruijie(config)# access-list 101 deny icmp 192.168.12.0
Ruijie(config)# access-list 101 deny i
Ruijie(config)# access-list 101 deny ip any any
配置Time-Range时间区
Ruijie(config)# time-range check
Ruijie(config-time-range)# periodic weekdays 8:30 to 17:30
说明:
访问列表101最后一条规则语句access-list 101 deny ip any any可以不要,因为访问列表最后隐含一条拒绝所有的规则语句。
Switch A的配置:
Ruijie(config)# hostname Ruijie
Ruijie(config)# interface GigabitEthernet 0/1
Ruijie(config-if)# ip address 192.168.202.1 255.255.255.0
Ruijie(config)# interface GigabitEthernet 0/2
Ruijie(config-if)# ip address
MAC扩展访问控制列表配置实例; (700-799)
要求通过配置MAC访问列表,实现以下安全功能:
使用IPX协议的主机0013.2049.8272不能访问设备giga 0/1端口。
其他可以访问
配置以太口,在以太口上应用访问列表101,对以太口上进出的所有报文进行检查
Ruijie> enable
Ruijie# configure terminal
Ruijie(config)# mac access-list extended mac-list
Ruijie(config-mac-nacl)# deny host 0013.2049.8272 any ipx
Ruijie(config-mac-nacl)# permit any any
Ruijie(config-mac-nacl)# exit
Ruijie(config)# interface gigabitEthernet 0/1
Ruijie(config-if)# mac access-group mac-list in
Ruijie(config-if)# end
Ruijie# show access-lists
mac access-list extended mac-list
deny host 0013.2049.8272 any ipx
permit any any
Ruijie#
配置 expert扩展访问控制列表(2700-2899)
要配置Expert访问列表,有以下两种方式
方式一 在全局配置模式下执行以下命令:
命令
功能
Ruijie (config)# access-list id {deny |
permit} [prot | {[ethernet-type] [cos cos]}] [VID
vid] {src src-wildcard | host src | interface idx}
{host src-mac-addr | any} {dst dst-wildcard |
host dst | any}{host dst-mac-addr | any}]
[precedence precedence] [tos tos] [ dscp
dscp] [fragment] [time-range tm-rng-name]
定义访问列表,命令的具体内容请参见命令参考
Ruijie(config)# interface interface
选择选择要应用访问列表的接口
Ruijie(config-if)# expert access-group id {in | out }
将访问列表应用特定接口
方式二, 在ACL配置模式下执行以下命令:
命令
功能
Ruijie(config)# expert access-list
extended {id|name}
进入配置访问列表模式
Ruijie (config-exp-nacl)# [sn]{ permit |
deny }[prot | {[ethernet-type] [cos cos]}] [VID
vid] {src src-wildcard | host src | interface
idx}{host src-mac-addr | any} {dst
dst-wildcard | host dst | any}{host
dst-mac-addr | any}][precedence
precedence] [tos tos] [ dscp dscp]
[fragment] [time-range tm-rng-name]
为ACL添加表项,命令的具体内容请参见命令参考
Ruijie(config-exp-nacl)# exit
Ruijie(config)# interface interface
退出访问控制列表模式,选择选择要应用访问列表的接口
Ruijie(config-if)# expert access-group {id|name} {in|out}
将访问列表应用特定接口
IPV6扩展访问控制列表的配置;
要求通过配置访问列表,实现以下安全功能:
192.168.4.12的主机能访问设备gi 0/1端口。
其他的不能访问
Ruijie> enable
Ruijie# config terminal
Ruijie(config)# ipv6 access-list v6-list
Ruijie(config-ipv6-nacl)# permit ipv6 ::192:68:4:12/24 any
Ruijie(config-ipv6-nacl)# deny ipv6 any any
Ruijie(config-ipv6-nacl)# exit
Ruijie(config)# interface gigabitEthernet 0/1
Ruijie(config-if)# ipv6 traffic-filter v6-list in
Ruijie(config-if)# end
Ruijie# show access-lists
ipv6 access-list extended v6-list
petmit ipv6 ::192.168.4.12 any
deny any any
Ruijie#
配置TCP flag 过滤控制;
Ruijie> enable
Ruijie#
2) 进入全局配置模式
Ruijie# configure terminal
Ruijie(config)#
3) 进入ACL配置模式
Ruijie(config)# ip access-list extended test-tcp-flag
Ruijie(config-ext-nacl)#
4) 添加ACL表项
Ruijie(config-ext-nacl)# permit tcp any any match-all rst
5) 添加deny表项
Ruijie(config-ext-nacl)# deny tcp any any match-all fin
6) 重复添加删除表项,
7) end
Ruijie(config-ext-nacl)# end
8) 显示
Ruijie# show access-list test-tcp-flag
ip access-lists extended test-tcp-flag
10 permit tcp any any match-all rst
20 deny tcp any any match-all fin
配置基于时间的ACL;
下面的例子以时间区ACL 应用为例,说明如何在每周工作时间段内禁止HTTP 的数据流:
Ruijie(config)# time-range no-http
Ruijie(config-time-range)# periodic weekdays 8:00 to 18:00
Ruijie(config)# end
Ruijie(config)# ip access-list extended limit-udp
Ruijie(config-ext-nacl)# deny tcp any any eq www time-range no-http
Ruijie(config-ext-nacl)# exit
Ruijie(config)# interface gigabitEthernet 0/1
Ruijie(config-if)# ip access-group no-http in
Ruijie(config)# end
下面为Time Range的显示范例:
Ruijie# show time-range
time-range entry: no-http(inactive)
periodic Weekdays 8:00 to 18:00
配置绑定源端口地址的ACL
您可以使用IP标准,IP扩展及专家ACL来配置匹配源接口地址。
从特权模式开始,您可以通过以下步骤来设置一个ACL匹配源接口地址
命令
功能
Ruijie# configure terminal
进入全局配置模式。
Ruijie(config)# ip access-list standard 1
进入ACL配置模式
Ruijie(config-std-nacl)# permit ip interface idx
配置匹配源接口地址ACL表项