网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

CCIE试验备考之交换security(3)推荐

【网络安全】 2018-01-26本文已影响
第三部分? 访问控制0aM68学习网-学习教育资源分享平台
1.RACL0aM68学习网-学习教育资源分享平台
针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。0aM68学习网-学习教育资源分享平台
在交换机中,用户可以在任何路由接口中应用RACL,其中包括如下接口:0aM68学习网-学习教育资源分享平台
*SVI(交换虚拟接口vlan端口)0aM68学习网-学习教育资源分享平台
*第3层端口或路由端口0aM68学习网-学习教育资源分享平台
*第3层端口通道0aM68学习网-学习教育资源分享平台
*其它第3层接口2.VACL0aM68学习网-学习教育资源分享平台
VACL又称为VLAN访问映射表,应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤,也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样,vacl中条目的顺序并非无关紧要。VACL不定义方向(进或出)。一个VACL可以用于多个VLAN中;但一个VLAN只能与一个VACL关联。0aM68学习网-学习教育资源分享平台
支持多种VACL操作:0aM68学习网-学习教育资源分享平台
*?转发(允许):这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器(SPAN)选项,必须采用带capture选项的转发操作;SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备(如第三方IDS设备)很有用。0aM68学习网-学习教育资源分享平台
*?丢弃(拒绝):流与某个ACL丢弃(拒绝)条目匹配后,将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配,且至少配置了一个针对数据包类型的ACL,则流中的数据包将被丢弃0aM68学习网-学习教育资源分享平台
*?重定向:VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。0aM68学习网-学习教育资源分享平台
?0aM68学习网-学习教育资源分享平台
配置方法:0aM68学习网-学习教育资源分享平台
1)?定义访问控制列表(标准、扩展、命名)0aM68学习网-学习教育资源分享平台
a.标准访问控制列表0aM68学习网-学习教育资源分享平台
access-list 列表编号 deny|permit 源地址 反掩码 [log]0aM68学习网-学习教育资源分享平台
*?列表编号:1-990aM68学习网-学习教育资源分享平台
*?deny:拒绝0aM68学习网-学习教育资源分享平台
*?permit:允许0aM68学习网-学习教育资源分享平台
*?源地址:控制访问的源头0aM68学习网-学习教育资源分享平台
*?反掩码:any 是指任意主机,host是指某台主机0aM68学习网-学习教育资源分享平台
*?log:记录到日志文件0aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
Switch (config)# access-list 2 deny host 171.69.198.1020aM68学习网-学习教育资源分享平台
Switch (config)# access-list 2 permit any0aM68学习网-学习教育资源分享平台
Switch(config)# end 0aM68学习网-学习教育资源分享平台
Switch# show access-lists0aM68学习网-学习教育资源分享平台
Standard IP access list 20aM68学习网-学习教育资源分享平台
??? 10 deny?? 171.69.198.1020aM68学习网-学习教育资源分享平台
??? 20 permit any?b.扩展访问控制列表0aM68学习网-学习教育资源分享平台
access-list 列表编号 deny|permit 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] [表达式]0aM68学习网-学习教育资源分享平台
*?列表编号:100-1990aM68学习网-学习教育资源分享平台
*?协议:IP、TCP、UDP、ICMP等,协议选项是区别标准访问列表的特征之一0aM68学习网-学习教育资源分享平台
*?表达式:eq 协议或端口号:等于协议或端口号0aM68学习网-学习教育资源分享平台
??????????????? gq 协议或端口号:小于指定的协议或端口号0aM68学习网-学习教育资源分享平台
??????????????? lq 协议或端口号:大于指定的协议或端口号0aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet0aM68学习网-学习教育资源分享平台
Switch(config)# access-list 102 permit tcp any any 0aM68学习网-学习教育资源分享平台
Switch(config)# end 0aM68学习网-学习教育资源分享平台
Switch# show access-lists0aM68学习网-学习教育资源分享平台
Extended IP access list 1020aM68学习网-学习教育资源分享平台
??? 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet0aM68学习网-学习教育资源分享平台
??? 20 permit tcp any any0aM68学习网-学习教育资源分享平台
c.命名访问控制列表0aM68学习网-学习教育资源分享平台
命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句,而编号访问控制列表只能删除整个访问控制。0aM68学习网-学习教育资源分享平台
??? Ip access-list [standard|extended] 名称0aM68学习网-学习教育资源分享平台
??? Permit|deny 标准和扩展有所不同0aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
Switch(config)# ip access-list extended border-list0aM68学习网-学习教育资源分享平台
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any0aM68学习网-学习教育资源分享平台
2)?定义VACL映射表0aM68学习网-学习教育资源分享平台
??? vlan access-map 名称0aM68学习网-学习教育资源分享平台
a)? 匹配指定的IP访问控制列表??? match ip address 访问列表号0aM68学习网-学习教育资源分享平台
???????? 匹配指定的mac访问控制列表?? match mac address 访问控制列表0aM68学习网-学习教育资源分享平台
b)?指定对符合条件的流量进行何动作??? action drop|forward0aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
switch(config)#vlan access-map test0aM68学习网-学习教育资源分享平台
switch(config-access-map)#match ip address 1010aM68学习网-学习教育资源分享平台
switch(config-access-map)#action forward0aM68学习网-学习教育资源分享平台
3)?将VACL映射表应用到某个VLAN0aM68学习网-学习教育资源分享平台
??? vlan filter 映射表名称 vlan-list vlan列表0aM68学习网-学习教育资源分享平台
案例: 0aM68学习网-学习教育资源分享平台
??? vlan filter test vlan-list 100aM68学习网-学习教育资源分享平台
4)?验证结果0aM68学习网-学习教育资源分享平台
??? show vlan access-map 名称?Switch#show vlan access-map 0aM68学习网-学习教育资源分享平台
Vlan access-map "test"? 100aM68学习网-学习教育资源分享平台
? Match clauses:0aM68学习网-学习教育资源分享平台
??? ip? address: 1000aM68学习网-学习教育资源分享平台
? Action:0aM68学习网-学习教育资源分享平台
??? drop0aM68学习网-学习教育资源分享平台
Vlan access-map "test"? 200aM68学习网-学习教育资源分享平台
? Match clauses:0aM68学习网-学习教育资源分享平台
? Action:0aM68学习网-学习教育资源分享平台
??? forward0aM68学习网-学习教育资源分享平台
---------------------------------------------------show vlan filter access-map 名称 | vlan vlan号0aM68学习网-学习教育资源分享平台
Switch#show vlan filter 0aM68学习网-学习教育资源分享平台
VLAN Map test is filtering VLANs:0aM68学习网-学习教育资源分享平台
? 11-130aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
主机X和主机Y位于不同的VLAN,交换机B已经对这两个VLAN做了vlan间的路由0aM68学习网-学习教育资源分享平台
Switch(config)# ip access-list extended http0aM68学习网-学习教育资源分享平台
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www0aM68学习网-学习教育资源分享平台
Switch(config-ext-nacl)# exit0aM68学习网-学习教育资源分享平台
Switch(config)# vlan access-map map2 100aM68学习网-学习教育资源分享平台
Switch(config-access-map)# match ip address http0aM68学习网-学习教育资源分享平台
Switch(config-access-map)# action drop0aM68学习网-学习教育资源分享平台
Switch(config-access-map)# exit0aM68学习网-学习教育资源分享平台
Switch(config)# ip access-list extended match_all0aM68学习网-学习教育资源分享平台
Switch(config-ext-nacl)# permit ip any any0aM68学习网-学习教育资源分享平台
Switch(config-ext-nacl)# exit0aM68学习网-学习教育资源分享平台
Switch(config)# vlan access-map map2 200aM68学习网-学习教育资源分享平台
Switch(config-access-map)# match ip address match_all0aM68学习网-学习教育资源分享平台
Switch(config-access-map)# action forward0aM68学习网-学习教育资源分享平台
Switch(config)# vlan filter map2 vlan 10aM68学习网-学习教育资源分享平台
要注意vlan间的acl和vacl之间的区别?3.PACL0aM68学习网-学习教育资源分享平台
通过控制端口级别的流量,PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。0aM68学习网-学习教育资源分享平台
在使用PACL的时候,能够在第2层接口上应用如下的ACL:0aM68学习网-学习教育资源分享平台
* 标准访控(针对源IP地址)0aM68学习网-学习教育资源分享平台
* 扩展访控(针对源IP地址和目标IP地址以及用于第4层协议类型信息)0aM68学习网-学习教育资源分享平台
* MAC扩展访控(针对源和目标MAC地址,还可以使用第3层协议类型信息)0aM68学习网-学习教育资源分享平台
当PACL应用于trunk端口上时,ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候,ACL将过滤数据和语音VLAN的流量。0aM68学习网-学习教育资源分享平台
对于PACL,通过采用IP访问控制列表,将能够过滤IP流量,通过采用MAC访问控制列表,将能够过滤非IP流量。此外,通过在接口上应用IP访问控制列表和MAC访问列表,将能够过滤相同的第2层接口上IP流量和非IP流量。0aM68学习网-学习教育资源分享平台
配置MAC扩展访控:0aM68学习网-学习教育资源分享平台
1)进入全局模式?? configure terminal0aM68学习网-学习教育资源分享平台
2)定义mac扩展访控名称0aM68学习网-学习教育资源分享平台
??? mac access-list extended 名称0aM68学习网-学习教育资源分享平台
3)?定义相应访问控制列表语句0aM68学习网-学习教育资源分享平台
??? deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos]0aM68学习网-学习教育资源分享平台
4)?应用访问控制列表到第2层接口0aM68学习网-学习教育资源分享平台
??? 进入接口模式???? interface 接口0aM68学习网-学习教育资源分享平台
??? 应用访控???????? mac access-group 访控名称 in0aM68学习网-学习教育资源分享平台
???????????????? 对于端口ACL而言,只有进入的方向可以加访控0aM68学习网-学习教育资源分享平台
5)?验证结果0aM68学习网-学习教育资源分享平台
??? show? access-lists [列表号|名称]0aM68学习网-学习教育资源分享平台
??? show access-group [interface 接口]?案例:0aM68学习网-学习教育资源分享平台
switch#configure terminal0aM68学习网-学习教育资源分享平台
switch(config)#mac access-list extended cisco0aM68学习网-学习教育资源分享平台
switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.11110aM68学习网-学习教育资源分享平台
switch(config-ext-macl)#exit0aM68学习网-学习教育资源分享平台
switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.20aM68学习网-学习教育资源分享平台
switch(config)#access-list 101 permit ip any any0aM68学习网-学习教育资源分享平台
switch(config)#interface f0/230aM68学习网-学习教育资源分享平台
switch(config-if)#switchport mode trunk0aM68学习网-学习教育资源分享平台
switch(config-if)#ip access-group 101 in0aM68学习网-学习教育资源分享平台
switch(config-if)#mac access-group cisco in0aM68学习网-学习教育资源分享平台
switch(config-if)#end0aM68学习网-学习教育资源分享平台
switch#show access-lists0aM68学习网-学习教育资源分享平台
switch#show access-group interface f0/230aM68学习网-学习教育资源分享平台
案例:0aM68学习网-学习教育资源分享平台
CCIE-LAB(v133)0aM68学习网-学习教育资源分享平台
题目要求:0aM68学习网-学习教育资源分享平台
Assume that connected to port f0/15 on SW1 is a host sending Ethernet Type 6000 frames into the network configures an access-list to block only this traffic allowing other frames to enter into the network.Please use “Block_eth6000” as the name of access-list.0aM68学习网-学习教育资源分享平台
配置:0aM68学习网-学习教育资源分享平台
SW10aM68学习网-学习教育资源分享平台
configure terminal0aM68学习网-学习教育资源分享平台
mac access-list extended Block_eth60000aM68学习网-学习教育资源分享平台
?? deny any any etype-60000aM68学习网-学习教育资源分享平台
? permit any any0aM68学习网-学习教育资源分享平台
interface f0/150aM68学习网-学习教育资源分享平台
? switchport mode access0aM68学习网-学习教育资源分享平台
? mac access-group Block_eth6000 in0aM68学习网-学习教育资源分享平台
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部