CCIE试验备考之交换security(3)

admin

CCIE试验备考之交换security(3) 第三部分  访问控制 1．RACL 针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。 在交换机中，用户可以在任何路由接口中应用RACL，其中包括如下接口： *SVI（交换虚拟接口vlan端口） *第3层端口或路由端口 *第3层端口通道 *其它第3层接口 2．VACL VACL又称为VLAN访问映射表，应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤，也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样，vacl中条目的顺序并非无关紧要。VACL不定义方向（进或出）。一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。 支持多种VACL操作： * 转发（允许）：这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器（SPAN）选项，必须采用带capture选项的转发操作；SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备（如第三方IDS设备）很有用。 * 丢弃（拒绝）：流与某个ACL丢弃（拒绝）条目匹配后，将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配，且至少配置了一个针对数据包类型的ACL，则流中的数据包将被丢弃 * 重定向：VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。 配置方法： 1） 定义访问控制列表（标准、扩展、命名） a.标准访问控制列表 access-list 列表编号 deny|permit 源地址 反掩码 [log] * 列表编号：1-99 * deny:拒绝 * permit:允许 * 源地址：控制访问的源头 * 反掩码：any 是指任意主机，host是指某台主机 * log:记录到日志文件 案例： Switch (config)# access-list 2 deny host 171.69.198.102 Switch (config)# access-list 2 permit any Switch(config)# end Switch# show access-lists Standard IP access list 2     10 deny  171.69.198.102     20 permit any b.扩展访问控制列表 access-list 列表编号 deny|permit 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] [表达式] * 列表编号：100-199 * 协议：IP、TCP、UDP、ICMP等，协议选项是区别标准访问列表的特征之一 * 表达式：eq 协议或端口号:等于协议或端口号                 gq 协议或端口号：小于指定的协议或端口号                 lq 协议或端口号：大于指定的协议或端口号 案例： Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet Switch(config)# access-list 102 permit tcp any any Switch(config)# end Switch# show access-lists Extended IP access list 102     10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet     20 permit tcp any any c.命名访问控制列表 命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。     Ip access-list [standard|extended] 名称     Permit|deny 标准和扩展有所不同 案例： Switch(config)# ip access-list extended border-list Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any 2） 定义VACL映射表     vlan access-map 名称 a)  匹配指定的IP访问控制列表    match ip address 访问列表号         匹配指定的mac访问控制列表  match mac address 访问控制列表 b) 指定对符合条件的流量进行何动作    action drop|forward 案例： switch(config)#vlan access-map test switch(config-access-map)#match ip address 101 switch(config-access-map)#action forward 3） 将VACL映射表应用到某个VLAN     vlan filter 映射表名称 vlan-list vlan列表 案例：     vlan filter test vlan-list 10 4） 验证结果     show vlan access-map 名称 Switch#show vlan access-map Vlan access-map "test"  10   Match clauses:     ip  address: 100   Action:     drop Vlan access-map "test"  20   Match clauses:   Action:     forward --------------------------------------------------- show vlan filter access-map 名称 | vlan vlan号 Switch#show vlan filter VLAN Map test is filtering VLANs:   11-13 案例： 主机X和主机Y位于不同的VLAN，交换机B已经对这两个VLAN做了vlan间的路由 Switch(config)# ip access-list extended http Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map2 10 Switch(config-access-map)# match ip address http Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# ip access-list extended match_all Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map2 20 Switch(config-access-map)# match ip address match_all Switch(config-access-map)# action forward Switch(config)# vlan filter map2 vlan 1 要注意vlan间的acl和vacl之间的区别 3.PACL 通过控制端口级别的流量，PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。 在使用PACL的时候，能够在第2层接口上应用如下的ACL: * 标准访控（针对源IP地址） * 扩展访控（针对源IP地址和目标IP地址以及用于第4层协议类型信息） * MAC扩展访控（针对源和目标MAC地址，还可以使用第3层协议类型信息） 当PACL应用于trunk端口上时，ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候，ACL将过滤数据和语音VLAN的流量。 对于PACL，通过采用IP访问控制列表，将能够过滤IP流量，通过采用MAC访问控制列表，将能够过滤非IP流量。此外，通过在接口上应用IP访问控制列表和MAC访问列表，将能够过滤相同的第2层接口上IP流量和非IP流量。 配置MAC扩展访控： 1）进入全局模式  configure terminal 2）定义mac扩展访控名称     mac access-list extended 名称 3） 定义相应访问控制列表语句     deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] 4） 应用访问控制列表到第2层接口     进入接口模式    interface 接口     应用访控        mac access-group 访控名称 in                 对于端口ACL而言，只有进入的方向可以加访控 5） 验证结果     show  access-lists [列表号|名称]     show access-group [interface 接口] 案例： switch#configure terminal switch(config)#mac access-list extended cisco switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.1111 switch(config-ext-macl)#exit switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.2 switch(config)#access-list 101 permit ip any any switch(config)#interface f0/23 switch(config-if)#switchport mode trunk switch(config-if)#ip access-group 101 in switch(config-if)#mac access-group cisco in switch(config-if)#end switch#show access-lists switch#show access-group interface f0/23 案例： CCIE-LAB(v133) 题目要求： Assume that connected to port f0/15 on SW1 is a host sending Ethernet Type 6000 frames into the network configures an access-list to block only this traffic allowing other frames to enter into the network.Please use “Block_eth6000” as the name of access-list. 配置： SW1 configure terminal mac access-list extended Block_eth6000   deny any any etype-6000   permit any any interface f0/15   switchport mode access   mac access-group Block_eth6000 in

TOP

丁芊芊

楼主辛苦了

yin6535580

cec