应用场景:
例如客户现场只让规定的用户去telnet自己网络中的交换机
功能简介:
ACLs 的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃。对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。
ACLs 由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议,时间区域等信息,通常分为如下几种类型的ACL:
IP标准ACL,IP扩展ACL,MAC扩展ACL,专家级Expert ACL,IPv6扩展ACL,报文的前80字节的ACL 80等。
ACL部署原则:
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
原则:根据减少不必要通信流量的通行准则,管理员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。
举个例子:我们经常见到对常见病毒端口进行过滤的ACL,那么这种ACL应用在哪里比较合适呢?
对于网络中的用户来说,这个防病毒端口的过滤显然用在最接近用户的交换机上来做比较好,这样可以从源头上控制被感染的机器采用病毒端口进行通讯,减少对其他交换机上用户带来的应用。
如果要控制外网进来的流量对服务器的端口访问过滤,那么这种限制就应该放在这个网络的出口处较好,这样可以将这种非法流量从一开始就拒之门外。当然如果内网也需要对服务器的端口访问进行过滤,那么由于内网的源IP很多,目的IP一致的情况下,在靠近目标IP的地方做ACL过滤,因为这样只需要一个ACL即可,否则你需要在很多设备上去分别部署,因为你要控制所有的源到这个目的IP的访问,影响效率。而如果你在接近服务器的交换机上部署ACL,那么你只需要一个ACL即可。
总结如下:
1、对常见的病毒端口过滤的ACL,一般部署在接入层交换机上。
2、对外提供公共服务器的服务器,一般建议在接近服务器的交换机上控制对其端口的访问。
3、对于网段间的互访,根据实际情况,可以选择在源或目的网段上做控制,也可以在网络较大的情况,网段互访规则较多的情况下,在中间核心设备上集中部署。
4、对于上下级机构、内外网访问规则间的访问控制,建议在边界设备上集中部署,比如出口路由器,防火墙等。
一、组网需求
某公司只让192.168.10.0/24网段的用户可以telnet本地交换机。
二、组网拓扑
三、配置要点
1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的
2、配置ACL
3、在line vty 下面调用
四、配置步骤
3、配置ACL
Ruijie>en
Ruijie#config ter
Ruijie(config)#ip access-list extended 100
Ruijie(config-ext-nacl)#5 permit ip 192.168.10.0 0.0.0.255 any----->只允许管理员网段访问交换机
Ruijie(config-ext-nacl)#exit
4、line vty 0 4下调用
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login
Ruijie(config-line)#password ruijie
Ruijie(config-line)#access-class 100 in
5、保存配置
Ruijie(config-line)#end
Ruijie#write -----> 确认配置正确,保存配置
五、配置验证。
查看设备的相应配置
Ruijie#show access-lists
ip access-list extended 100
5 permit ip 192.168.10.0 0.0.0.255 any
页面更新:2024-04-26
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号