NP-10-園區(qū)網(wǎng)安全技術(shù)

第十章

園區(qū)網(wǎng)平安技術(shù)交換今日汗水，路由明朝輝煌教學(xué)目標(biāo)了解常見的網(wǎng)絡(luò)平安隱患及常用防范技術(shù)；熟悉交換機(jī)端口平安功能及配置掌握基于IP的標(biāo)準(zhǔn)、擴(kuò)展ACL技術(shù)進(jìn)行網(wǎng)絡(luò)平安訪問控制。本章內(nèi)容網(wǎng)絡(luò)平安隱患交換機(jī)端口平安IP訪問控制列表課程議題網(wǎng)絡(luò)平安隱患常見的網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊手段多種多樣，以下是最常見的幾種攻擊不可防止網(wǎng)絡(luò)攻擊原理日趨復(fù)雜，但攻擊卻變得越來越簡單易操作額外的不平安因素

DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部個(gè)體外部/組織內(nèi)部個(gè)體內(nèi)部/組織現(xiàn)有網(wǎng)絡(luò)平安體制現(xiàn)有網(wǎng)絡(luò)平安防御體制IDS/IPS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)平安體制VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測園區(qū)網(wǎng)的常見平安隱患網(wǎng)絡(luò)平安的隱患是指計(jì)算機(jī)或其他通信設(shè)備利用網(wǎng)絡(luò)進(jìn)行交互時(shí)可能會(huì)受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)平安或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。園區(qū)網(wǎng)絡(luò)平安隱患包括：意外事故、人為行為〔如使用不當(dāng)、平安意識(shí)差等〕、黑客行為、內(nèi)部泄密、外部泄密、信息喪失、電子監(jiān)聽〔信息流量分析、信息竊取等〕和信息戰(zhàn)等。非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)喪失或損壞。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。園區(qū)網(wǎng)平安解決方案的整體思路將關(guān)鍵設(shè)備放在物理上平安的空間里制定一個(gè)完善的平安機(jī)制制定一個(gè)嚴(yán)格的平安策略可以通過交換機(jī)端口平安、配置訪問控制列表ACL、在防火墻實(shí)現(xiàn)包過濾等技術(shù)來實(shí)現(xiàn)一套可行的園區(qū)網(wǎng)平安解決方案。宣傳教育課程議題園區(qū)網(wǎng)常見攻擊網(wǎng)絡(luò)攻擊對(duì)各網(wǎng)絡(luò)層次的影響二層交換機(jī)工作原理MAC

地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/2:

未知單播幀，播送幀：執(zhí)行播送操作Flooding二層攻擊和防范網(wǎng)絡(luò)攻擊對(duì)二層交換機(jī)產(chǎn)生的嚴(yán)重影響有：MAC攻擊；DHCP攻擊；ARP攻擊；IP/MAC欺騙攻擊；STP攻擊三層攻擊和防范網(wǎng)絡(luò)攻擊對(duì)三層交換機(jī)產(chǎn)生的嚴(yán)重影響有：MAC攻擊；DHCP攻擊；ARP攻擊；IP/MAC欺騙攻擊；DoS/DDoS攻擊；IP掃描攻擊；MAC攻擊MAC地址：鏈路層唯一標(biāo)識(shí)00.d0.f8.00.07.3cFF.FF.FF.FF.FF.FF前3個(gè)字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備廠商后3個(gè)字節(jié)：

網(wǎng)絡(luò)設(shè)備廠商自行分配，不重復(fù)，生產(chǎn)時(shí)寫入設(shè)備廣播MAC地址接入交換機(jī)MAC地址表：空間有限MAC PORTA 1B 2C 3MAC攻擊PCA

MACAPCB

MACBPCC

MACCMAC攻擊：

每秒發(fā)送成千上

萬個(gè)隨機(jī)源MAC

報(bào)文交換機(jī)MAC地址表

很快被不存在的地址

占滿，沒有空間學(xué)習(xí)

合法的MACB和C流量：C－>B流量：C－>B流量：C－>B單播流量在交換機(jī)內(nèi)部以播送方式在所有端口轉(zhuǎn)發(fā)，非法者也能夠接收這些報(bào)文MAC攻擊交換機(jī)內(nèi)部的MAC地址表空間是有限的，MAC攻擊會(huì)很快占滿交換機(jī)內(nèi)部的MAC地址表；使得單播包在交換機(jī)內(nèi)部變得像播送包一樣向同一VLAN的所有端口轉(zhuǎn)發(fā)；每個(gè)連接在交換機(jī)端口的客戶端都會(huì)收到該數(shù)據(jù)包，交換機(jī)變成了一個(gè)HUB，用戶的信息傳輸也沒有了平安保障。DHCP攻擊DHCP協(xié)議PCClientDHCPServer有DHCP效勞器嗎？DHCPDiscover（廣播）DHCPOffer（單播）我是DHCP效勞器DHCPRequest（廣播）DHCPACK（單播）我需要你說的IP地址你可以使用這個(gè)IPDHCP協(xié)議相關(guān)標(biāo)準(zhǔn)請(qǐng)查閱RFC2131DHCP攻擊DHCP的弱點(diǎn)DHCP無驗(yàn)證機(jī)制DHCP攻擊攻擊者偽裝DHCP效勞器為網(wǎng)絡(luò)分配地址攻擊者可以發(fā)動(dòng)一個(gè)DHCPDoS攻擊DHCP攻擊惡意用戶通過更換MAC地址方式向DHCPServer發(fā)送大量的DHCP請(qǐng)求，以消耗DHCPServer的可分配IP地址資源為目的；使得合法用戶的IP地址請(qǐng)求無法實(shí)現(xiàn)。PCClientDHCPServerDHCP攻擊之一：惡意DHCP請(qǐng)求攻擊者不斷變化MAC地址IPPool被耗盡DHCP攻擊非法DHCPServer，為合法用戶的IP請(qǐng)求分配不正確的IP地址、網(wǎng)關(guān)、DNS等錯(cuò)誤信息；不僅導(dǎo)致合法用戶的正常通信受到影響；還可能導(dǎo)致合法用戶的信息被發(fā)往非法DHCPServer，嚴(yán)重影響用戶的信息平安。DHCP攻擊之二：偽裝DHCP

ServerClient發(fā)出的DHCP請(qǐng)求報(bào)文非法的DHCP響應(yīng)報(bào)文Client訪問某個(gè)PC的報(bào)文PCClientDHCPServer攻擊者偽裝成DHCPServerARP攻擊ARP的作用將IP地址映射到MAC地址ARP攻擊ARP的弱點(diǎn)ARP無驗(yàn)證機(jī)制，請(qǐng)求者不能判斷收到的ARP應(yīng)答是否合法ARP攻擊之一：ARP欺騙UnicastARPReply：

MAC=0000-0000-000FARP攻擊ARP中間人攻擊攻擊者不但偽造網(wǎng)關(guān)，而且進(jìn)行數(shù)據(jù)重定向ARP攻擊之二：ARP中間人UnicastARPReply：

MAC=0003-0003-0003UnicastARPReply：

MAC=0003-0003-0003ARP攻擊ARP流量攻擊利用攻擊軟件，發(fā)送大量ARP請(qǐng)求和響應(yīng)，報(bào)文中的IP地址和MAC均為偽造，隨機(jī)填入。ARP攻擊之三：ARP流量攻擊IP/MAC欺騙攻擊MAC欺騙/IP欺騙盜用合法用戶的MAC地址和IP地址，侵入網(wǎng)絡(luò)，使得正常用戶無法上網(wǎng)

00-02-00-02-00-02Router/GatewayAttacker

00-02-00-02-00-02地址沖突MAC地址表不穩(wěn)定IP/MAC欺騙攻擊SYNFlood不斷修改IP地址，發(fā)送TCPSYN連接，攻擊效勞器AttackerServerTCPSYNSYN/ACK下一個(gè)SYN下一個(gè)SYN下一個(gè)SYN下一個(gè)SYN客戶端無確認(rèn)包，效勞器處于半連接狀態(tài)，很快TCP緩存資源被耗盡STP攻擊STP攻擊發(fā)送虛假BPDU，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點(diǎn)，獲取信息防范使用交換機(jī)具備的BPDUGuard功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口或接入交換機(jī)的下連端口收到BPDU，從而防止用戶發(fā)送非法BPDU；對(duì)于接入交換機(jī)，如果沒有冗余鏈路，盡量不要開啟生成樹協(xié)議。DoS/DDoS攻擊DoS/DDoS〔拒絕效勞攻擊/分布式拒絕效勞攻擊〕指成心攻擊網(wǎng)絡(luò)協(xié)議的缺陷或者直接通過野蠻手段耗盡攻擊目標(biāo)的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的效勞，甚至系統(tǒng)崩潰。SYNFlood：當(dāng)前最流行的DoS與DDoS攻擊方式，利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡。SYN-Telnet：向被攻擊者發(fā)送大量的TCP＝23的數(shù)據(jù)包〔持續(xù)線速〕ICMPFlood：傳統(tǒng)的DDoS攻擊方式，利用大量64KB的ICMPecho報(bào)文阻塞對(duì)方網(wǎng)絡(luò)。DoS/DDoS攻擊被DDoS攻擊時(shí)的現(xiàn)象被攻擊主機(jī)有大量等待的TCP連接網(wǎng)絡(luò)中充滿大量無用的數(shù)據(jù)包，源地址偽造制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊利用受害主機(jī)提供的效勞或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的效勞請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正?？蛻舳苏?qǐng)求嚴(yán)重時(shí)會(huì)導(dǎo)致效勞掛起，甚至系統(tǒng)宕機(jī)網(wǎng)絡(luò)嚴(yán)重癱瘓課程議題交換機(jī)端口平安交換機(jī)端口平安概述交換機(jī)的端口平安交換機(jī)二層端口上的平安特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中配置端口平安存在以下限制：平安端口必須是Access端口，而非Trunk端口平安端口不能是聚合端口〔AggregatePort〕平安端口不能是鏡像〔SPAN〕的目的端口。交換機(jī)端口平安概述利用交換機(jī)的端口平安功能實(shí)現(xiàn)防止局域網(wǎng)大局部的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口平安的根本功能限制交換機(jī)端口的最大連接數(shù)端口的平安地址綁定交換機(jī)端口平安概述如果用戶操作超出端口平安允許的操作范圍，這種現(xiàn)象稱之為違例。當(dāng)違例產(chǎn)生時(shí)，有下面3種違例的處理模式：Protect：平安端口將丟棄未知名地址〔不是該端口的平安地址中的任何一個(gè)〕的包；Restrict：交換機(jī)不但丟棄接收到的幀〔MAC地址不在平安地址表中〕，而且將發(fā)送一個(gè)SNMPTrap報(bào)文，給網(wǎng)絡(luò)管理系統(tǒng)；Shutdown：交換機(jī)將丟棄接收到的幀〔MAC地址不在平安地址表中〕，發(fā)送一個(gè)SNMPTrap報(bào)文，而且將端口關(guān)閉。端口平安的配置翻開接口的端口平安功能設(shè)置接口上平安地址的最大個(gè)數(shù)配置處理違例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|

shutdown}配置平安端口上的平安地址配置平安端口上的平安地址當(dāng)端口由于違規(guī)操作而進(jìn)入“err-disabled”狀態(tài)后，必須在全局模式下使用如上命令手工將其恢復(fù)為UP狀態(tài)使用err-disabled命令后所有的違例端口都會(huì)被恢復(fù)設(shè)置端口從“err-disabled”狀態(tài)自動(dòng)恢復(fù)所等待的時(shí)間Switch(conifg-if)#switchportport-security

mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置端口平安配置平安地址的老化時(shí)間，時(shí)間過后地址更新關(guān)閉一個(gè)接口的平安地址老化功能〔老化時(shí)間為0〕使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到的平安地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic查看端口平安信息顯示所有接口的平安設(shè)置狀態(tài)、違例處理等信息來查看平安地址信息，顯示平安地址及老化時(shí)間顯示所有平安端口的統(tǒng)計(jì)信息，包括最大平安地址數(shù)，當(dāng)前平安地址數(shù)以及違例處理方式等Switch#showport-securityinterface[interface-id]Switch#showport-securityaddress Switch#showport-security 案例〔一〕下面的例子是配置接口gigabitethernet1/3上的端口平安功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例〔二〕下面的例子是配置接口fastethernet0/3上的端口平安功能，配置端口綁定地址，主機(jī)MAC為，IP為Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#end查看配置信息Switch#showport-securityaddress

VlanMacAddressIPAddressTypePortRemainingAge(mins)

----------------------------------------------------------------------------------------1 00d0.f800.073c02ConfiguredGi1/381 00d0.f800.3cc9ConfiguredGi1/17

Switch#showport-security

SecurePortMaxSecureAddr(count)

CurrentAddr(count)

SecurityAction----------------------------------------------------------------------------------------Gi1/1 128 1 RestrictGi1/2 128 0 RestrictGi1/3 8 1 Protect課程議題IP訪問控制列表訪問控制列表概述訪問控制列表〔AccessControlList〕是一個(gè)有序的語句集，它通過比照?qǐng)?bào)文中字段值與訪問控制列表參數(shù)，來允許或拒絕報(bào)文通過某個(gè)接口。訪問控制列表作用：平安控制流量過濾數(shù)據(jù)流量標(biāo)識(shí)ACL語句組成：條件：用來匹配數(shù)據(jù)包中字段值操作：條件匹配時(shí)，可以采取允許和拒絕兩個(gè)操作ACL報(bào)文為什么要使用訪問列表內(nèi)網(wǎng)平安運(yùn)行訪問外網(wǎng)的平安控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署平安策略，保證內(nèi)網(wǎng)平安權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行平安的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對(duì)用戶的破壞訪問列表規(guī)那么的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制入站應(yīng)用〔in〕 經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行平安規(guī)那么過濾出站應(yīng)用〔out〕 設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行平安規(guī)那么過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表的入站應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方訪問列表的出站應(yīng)用NY選擇出口

S0

路由是否存在

?NY是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0以ICMP信息通知源發(fā)送方查看訪問列表

的陳述ACL工作原理及規(guī)那么根本規(guī)那么ACL規(guī)那么按名稱或編號(hào)進(jìn)行分組列表中每條ACL語句有一組條件和一個(gè)操作，如果需要多個(gè)條件或多個(gè)操作，那么必須使用多個(gè)ACL語句來完成如果當(dāng)前語句的條件沒有匹配，那么處理列表中的下一條語句如果條件匹配，那么執(zhí)行語句后面的操作，且不再與其他ACL語句進(jìn)行匹配如果列表中的所有語句都不匹配，那么丟棄該數(shù)據(jù)包ACL工作原理及規(guī)那么特點(diǎn)由于ACL語句默認(rèn)是拒絕不匹配的數(shù)據(jù)包，所以在列表中至少要有一個(gè)允許的操作。否那么，所有數(shù)據(jù)包都會(huì)被拒絕掉注意語句的順序。條件嚴(yán)的語句應(yīng)該放在列表的頂部，條件寬的語句應(yīng)該放在列表的底部。從而，防止條件嚴(yán)的語句永遠(yuǎn)也得不到執(zhí)行規(guī)那么匹配原那么從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的“允許/拒絕……”ACL工作原理及規(guī)那么本卷須知一個(gè)ACL列表中至少要有一條允許或拒絕的語句只能在設(shè)備的每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACLACL只能應(yīng)用在接口上先處理入站ACL，再進(jìn)行數(shù)據(jù)路由先進(jìn)行數(shù)據(jù)路由，再處理出站接口上的出站ACLACL會(huì)影響通過接口的流量和速度，但不會(huì)過濾路由器本身產(chǎn)生的流量ACL工作原理及規(guī)那么放置位置只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡量近的地方過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，那么應(yīng)該盡量放在離源地址近的地方IntranetIntranetACL的種類ACL種類：標(biāo)準(zhǔn)ACL：只能過濾IP數(shù)據(jù)包頭中的源IP地址擴(kuò)展ACL：可以過濾源IP地址、目的IP地址、協(xié)議〔TCP/IP〕、協(xié)議信息〔端口號(hào)、標(biāo)志代碼〕等MACACL：可以過濾源MAC、目標(biāo)MAC等專家ACL：可以過濾源IP、源MAC、源端口、目標(biāo)IP、目標(biāo)MAC、目標(biāo)端口、時(shí)間等時(shí)間ACL：可以根據(jù)時(shí)間段進(jìn)行擴(kuò)展ACL過濾IP標(biāo)準(zhǔn)ACLIP標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常配置在路由器上實(shí)現(xiàn)以下功能：

限制通過VTY線路對(duì)路由器的訪問〔telnet、SSH〕限制通過HTTP或HTTPS對(duì)路由器的訪問過濾路由更新源地址TCP/UDP數(shù)據(jù)IP

eg.HDLCIP標(biāo)準(zhǔn)ACL通過兩種方式創(chuàng)立標(biāo)準(zhǔn)ACL：編號(hào)或名稱使用編號(hào)創(chuàng)立創(chuàng)立ACL (config)#access-listlistnumber{permit|deny}address[wildcard–mask]在接口上應(yīng)用 (config-if)#ipaccess-group{id|name}{in|out}In：當(dāng)數(shù)據(jù)流入路由器接口時(shí)Out：當(dāng)數(shù)據(jù)流出路由器接口時(shí)IP標(biāo)準(zhǔn)ACL通過兩種方式創(chuàng)立標(biāo)準(zhǔn)ACL：編號(hào)或名稱使用命名創(chuàng)立定義ACL名稱 (config)#ipaccess-liststandardname定義規(guī)那么 (config-std-nacl)#deny|permit[sourcewildcard|any]在接口上應(yīng)用 (config-if)#ipaccess-group{id|name}{in|out}IP擴(kuò)展ACL擴(kuò)展的IP訪問表用于擴(kuò)展報(bào)文過濾的能力。擴(kuò)展訪問列表允許過濾內(nèi)容：源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。目的地址源地址協(xié)議端口號(hào)TCP/UDP數(shù)據(jù)IP

eg.HDLCIP擴(kuò)展ACL通過兩種方式創(chuàng)立擴(kuò)展ACL：編號(hào)或名稱使用編號(hào)創(chuàng)立創(chuàng)立ACL (config)#access-listlistnumber{permit|deny}protocol{sourcesource-wildcard–mask|hostsource|any}{destinationdestination-wildcard–mask|hostdestination|any}[operatoroperand]在接口上應(yīng)用 (config-if)#ipaccess-group{id|name}{in|out}IP擴(kuò)展ACL通過兩種方式創(chuàng)立擴(kuò)展ACL：編號(hào)或名稱使用命名創(chuàng)立定義ACL名稱 (config)#ipaccess-listextendedname定義規(guī)那么 (config-ext-nacl)#{permit|deny}protocol{sourcesource-wildcard|hostsource|any}{destinationdestination-wildcard|hostdestination|any}[operatorport]在接口上應(yīng)用 (config-if)#ipaccess-group{id|name}{in|out}反掩碼〔通配符〕0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111donotcheckaddress

(ignorebitsinoctet)ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamplesACL編號(hào)ACL類型編號(hào)范圍IP標(biāo)準(zhǔn)ACL1-99,1300-1999IP擴(kuò)展ACL100-199,2000-2699MAC擴(kuò)展ACL700-799專家擴(kuò)展ACL2700-2899IPX標(biāo)準(zhǔn)ACL800-899IPX擴(kuò)展ACL900-999IPXSAP1000-1099課程議題IP訪問控制列表

配置例如IP標(biāo)準(zhǔn)ACL配置例如E0S0E1Non-

(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outPermitmynetworkonlyIP標(biāo)準(zhǔn)ACL配置例如E0S0E1Non-access-list1deny3(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1outDenyaspecifichostaccess-list1denyaccess-list1permitanyIP標(biāo)準(zhǔn)ACL配置例如E0S0E1Non-access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1outDenyaspecificsubnetACL控制vty訪問例如使用標(biāo)準(zhǔn)訪問列表語句用access-class命令應(yīng)用訪問列表01234Virtualports(vty0through4)Physicalport(F1/0)(Telnet)Router#F1/0!linevty04access-class12inIP擴(kuò)展ACL配置例如E0S0E1Non-access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

IP擴(kuò)展ACL配置例如E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)內(nèi)的主機(jī)使用路由器的E0端口建立Telnet會(huì)話訪問列表的驗(yàn)證顯示全部的訪問列表 Router#showaccess-lists顯示指定的訪問列表 Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用 Router#showipinterface Router#showipaccess-group〔RGNOS12.0+〕查看訪問列表wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupAddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabled

……<textommitted>查看訪問列表的語句wg_ro_a#showaccess-listsStandardIPaccesslist1ExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#showaccess-lists{access-list-number}wg_ro_a#show{protocol}access-list{access-list-number}IP訪問列表配置本卷須知一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL銳捷全系列交換機(jī)可針對(duì)物理接口和SVI接口應(yīng)用ACL針對(duì)物理接口，只能配置入站應(yīng)用(In)針對(duì)SVI〔虛擬VLAN〕接口，可以配置入站〔In〕和出站〔Out〕應(yīng)用訪問列表的缺省規(guī)那么是：拒絕所有標(biāo)準(zhǔn)IPACL配置例如要求網(wǎng)段的主機(jī)不可以訪問效勞器，其它主機(jī)訪問效勞器不受限制。擴(kuò)展IPACL配置例如為公司的文件效勞器，要求網(wǎng)段中的主機(jī)能夠訪問中的FTP效勞和WEB效勞，而對(duì)效勞器的其它效勞禁止訪問。名稱IPACL配置例如

IP擴(kuò)展訪問列表配置實(shí)例利用ACL隔離沖擊波病毒access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyany

interface<type><number>ipaccess-group115inipaccess-group115outACL的修改和維護(hù)傳統(tǒng)編號(hào)ACL的修改問題新規(guī)那么添加到ACL的末尾刪除所有ACL規(guī)那么重新編寫導(dǎo)出配置文件進(jìn)行修改將ACL規(guī)那么復(fù)制到編輯工具進(jìn)行修改ACL配置模式使用ipaccess-list命令進(jìn)入ACL配置模式可以刪除特定的ACL規(guī)那么在任意位置插入新的ACL規(guī)那么添加和刪除ACL規(guī)那么添加ACL規(guī)那么sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number：規(guī)那么在ACL中的序號(hào)，即排序的位置默認(rèn)根據(jù)序號(hào)從小到大進(jìn)行排序刪除ACL規(guī)那么nosequence-numberRouter(config-ext-nacl)#添加ACL規(guī)那么配置例如刪除ACL規(guī)那么配置例如ACL規(guī)那么的重編號(hào)ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number：ACL規(guī)那么的起始序號(hào)值，默認(rèn)為10increment-number：ACL規(guī)那么的遞增序號(hào)值，默認(rèn)為10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

ACL規(guī)那么重編號(hào)配置例如查看ACL信息查看ACL配置信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL信息例如課程議題基于時(shí)間的IPACL基于時(shí)間的ACL基于時(shí)間的ACL對(duì)于不同的時(shí)間段實(shí)施不同的訪問控制規(guī)那么在原有ACL的根底上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對(duì)時(shí)間段〔abs