在實(shí)際校園網(wǎng)絡(luò)環(huán)境中，各種上層訪問應(yīng)用，歸根結(jié)底是通過PC和服務(wù)器之間的報(bào)文交互進(jìn)行的，而報(bào)文則是通過交換機(jī)，路由器等各種網(wǎng)絡(luò)設(shè)備進(jìn)行傳輸?shù)�。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題日益突出，如各種針對交換機(jī)的惡意攻擊、病毒肆虐等等，對正常的網(wǎng)絡(luò)通訊造成很大影響。以上種種原因使得需要對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行監(jiān)控、控制，確保網(wǎng)絡(luò)運(yùn)行安全，或?qū)�安全風(fēng)險(xiǎn)降低到最低程度。

    ACL技術(shù)分析

ACL根據(jù)使用方式的不同主要分為兩大類型：安全ACL和QoS ACL。本文主要介紹安全ACL。

    安全ACL主要分為兩大類型：基于接口的ACL和基于VLAN的ACL。

    基于接口的ACL，顧名思義，ACL的運(yùn)用對象是接口，這里的端口包含的種類很多，主要分為二層接口和三層接口。運(yùn)用于二層接口的ACL又被稱為Port ACL或基于二層接口的ACL，運(yùn)用于三層接口的ACL又稱為基于三層接口的ACL。二層接口主要包括Access口，Trunk口，L2 AP口。三層接口主要包括Routed Port，SVI口，L3 AP口。不同層次的交換機(jī)所支持的接口類型范圍不同。

    基于VLAN的ACL，ACL的運(yùn)用對象是VLAN，又稱為VACL。簡單的說就是如果一個(gè)VLAN運(yùn)用上一個(gè)ACL，當(dāng)有報(bào)文進(jìn)入或者離開這個(gè)VLAN時(shí)，就要受到該ACL的過濾。下文詳細(xì)介紹原理。

    安全ACL種類

    ACL的主要功能就是過濾報(bào)文，那ACL是根據(jù)什么來區(qū)分哪些報(bào)文需要過濾，哪些不需要的呢？就是根據(jù)報(bào)文中的特定信息。這些特定信息一般是報(bào)文中的IP，MAC，二層協(xié)議類型，三層協(xié)議類型，TOS，VID等等。

    根據(jù)可以匹配的信息的不同，ACL有以下6種類型：IP 標(biāo)準(zhǔn)ACL，IP 擴(kuò)展ACL，MAC 擴(kuò)展ACL，EXPERT(專家級) ACL，用戶自定義ACL(ACL80)，IPV6 ACL(過濾IPV6報(bào)文)。

    ACL過濾報(bào)文原理

    無論是基于端口的ACL，還是基于VLAN的ACL，其工作原理相同。

    ACL是由一系列ACE組成，每個(gè)ACE都有一個(gè)唯一的序列號，代表它的優(yōu)先級，當(dāng)交換機(jī)收到一報(bào)文，進(jìn)行解析后，就按照ACE的優(yōu)先級逐一匹配，若報(bào)文內(nèi)容和某個(gè)ACE中的內(nèi)容匹配，則按照相應(yīng)的動(dòng)作處理，若不符合，則匹配下一條ACE，直到匹配到合適的ACE。若報(bào)文符合某個(gè)ACE定義的內(nèi)容，則報(bào)文不再匹配這條ACE之后的所有ACE。請看以下ACL：

ip access-list extended example
10 deny ip host 192.168.1.1 any
20 permit ip host 192.168.1.1 any

    這條ACL具有兩個(gè)ACE，但這兩個(gè)ACE對同一種報(bào)文的動(dòng)作卻是相反的。同樣是針對源IP是192.168.1.1的IP報(bào)文，一條是允許轉(zhuǎn)發(fā)，另一條是過濾該類型報(bào)文。這兩條ACE唯一的區(qū)別就是它們的優(yōu)先級。

    當(dāng)交換機(jī)收到源IP是192.168.1.1的IP報(bào)文時(shí)，ACL按照ACE的優(yōu)先級進(jìn)行匹配，此時(shí)先匹配序列號為10的ACE，發(fā)現(xiàn)該報(bào)文的內(nèi)容可以匹配ACE的內(nèi)容，源IP為192.168.1.1，此時(shí)查看動(dòng)作，為deny，所以該報(bào)文被過濾，不再進(jìn)行匹配，所以序列號為20的ACE沒有對該報(bào)文進(jìn)行匹配。

    當(dāng)交換機(jī)又收到源IP是1.1.1.1的IP報(bào)文時(shí)，ACL還是按照ACE的優(yōu)先級進(jìn)行匹配，先匹配序列號為10的ACE，發(fā)現(xiàn)報(bào)文內(nèi)容和ACE中的不符合，按照原理，查看下一條ACE，發(fā)現(xiàn)內(nèi)容還是不匹配，但此時(shí)ACL中已沒有ACE了，怎么辦？這里要注意，當(dāng)應(yīng)用一個(gè)ACL時(shí)，交換機(jī)會(huì)自動(dòng)在ACL的末尾加上一條丟棄所有報(bào)文的ACE，而且該ACE優(yōu)先級最低，是最后才匹配的，這樣也提高了安全性，因此如圖所示的ACL，最后還有這樣一條ACE：deny ip any any，且優(yōu)先級最低，因此此時(shí)交換機(jī)收到的源IP為1.1.1.1的報(bào)文，最后匹配這條ACE，內(nèi)容可以匹配，因?yàn)樵揂CE針對所有的IP報(bào)文，此時(shí)查看動(dòng)作是deny，所以該報(bào)文被丟棄。

    由于ACE是按照優(yōu)先級匹配的，此時(shí)添加一條序列號小于10的ACE。

S8600(config)#ip access-list extended example
S8600(config-ext-nacl)#1 permit ip any any
S8600(config-ext-nacl)#end
S8600#show access-lists
ip access-list extended example
1 permit ip any any
10 deny ip host 192.168.1.1 any
20 permit ip host 192.168.1.1 any

    動(dòng)態(tài)添加了一條序列號為1的ACE：permit ip any any，所以當(dāng)交換機(jī)收到任意IP報(bào)文時(shí)，由于該ACE的優(yōu)先級最高，最優(yōu)先匹配，所以所有IP報(bào)文都允許轉(zhuǎn)發(fā)，而不會(huì)去匹配后面兩條ACE。

    ACE之后都可以匹配一個(gè)時(shí)間戳，而后ACL會(huì)根據(jù)系統(tǒng)的時(shí)鐘來確認(rèn)該ACE是否能生效，如果該ACE的時(shí)間戳中規(guī)定的時(shí)間和系統(tǒng)時(shí)鐘不符合，則該ACE就不生效，也就是不進(jìn)行匹配，如果相符，則進(jìn)行匹配，匹配時(shí)也是按照優(yōu)先級關(guān)系進(jìn)行，原理相同。如下所示：

S8600_V10.3#show clock
Clock: 2008-4-22 9:38:2
S8600_V10.3#show time-range
time-range entry: week_day (active)
periodic Weekdays 9:00 to 18:00
time-range entry: week_end (inactive)
periodic Sunday 9:00 to 18:00
S8600_V10.3#show access-lists
ip access-list extended example
10 permit ip host 1.1.1.1 any time-range week_day (active)
20 deny ip any host 2.2.2.2 time-range week_end (inactive)

    如上所示，ACE：permit ip host 1.1.1.1 any所對應(yīng)的時(shí)間戳week_day和系統(tǒng)時(shí)間相符，則該ACE生效，show信息顯示狀態(tài)為：active，而ACE：deny ip any host 2.2.2.2所對應(yīng)時(shí)間戳week_end 和系統(tǒng)時(shí)間不符合，則不生效，show信息顯示狀態(tài)為：inactive，運(yùn)用時(shí)該ACE就不參與過濾報(bào)文。

安全ACL應(yīng)用類型

    安全ACL分為基于接口和基于VLAN兩種應(yīng)用。

    基于接口的ACL應(yīng)用，ACL的運(yùn)用對象是接口，上文提到主要有六種接口類型。當(dāng)ACL運(yùn)用到接口時(shí)，有兩種選擇：in和out，即輸入方向和輸出方向，這里所謂的方向是針對接口而言。如圖1所示：

圖1 in方向和out方向概念

    In和out說明ACL起作用的位置。In方向說明當(dāng)報(bào)文從外界網(wǎng)絡(luò)進(jìn)入該接口時(shí)，要受到ACL的檢查，過濾。Out方向說明當(dāng)報(bào)文從該接口轉(zhuǎn)發(fā)，準(zhǔn)備前往外界網(wǎng)絡(luò)時(shí)，要受到ACL的檢查，過濾。

    基于VLAN的ACL應(yīng)用，ACL的運(yùn)用對象是VLAN，同樣基于VLAN的ACL也有in和out方向，但和基于接口的ACL應(yīng)用的in和out不同的是，這里所謂的in和out方向是針對VLAN而言的，不是針對接口而言的。如圖2所示：

圖2 基于VLAN應(yīng)用的原理圖

    若在VLAN 1上應(yīng)用一個(gè)ACL，當(dāng)報(bào)文從屬于VLAN 1的接口進(jìn)入交換機(jī)，相當(dāng)于進(jìn)入VLAN 1，就是in方向，此時(shí)要受到該VACL的過濾，檢查。當(dāng)報(bào)文從屬于VLAN 1的接口轉(zhuǎn)發(fā)時(shí)，由于該端口屬于VLAN 1，不算是離開VLAN1，因此不受到VACL過濾。當(dāng)報(bào)文通過路由，從屬于VLAN1的接口路由到屬于VLAN 2的接口時(shí)，此時(shí)相當(dāng)于離開VLAN 1，就是out方向，要受到VACL的過濾。

    當(dāng)VLAN應(yīng)用一個(gè)ACL，那么進(jìn)入VLAN和離開VLAN的報(bào)文都受到VACL的限制，過濾。這也和基于接口的ACL不同。

    基于VLAN的ACL容易和應(yīng)用在三層接口SVI口上的ACL混淆。這兩者的層次不同，基于VLAN的ACL，由于VLAN是二層概念，所以主要過濾VLAN所屬二層接口收到的報(bào)文。而SVI是一個(gè)三層邏輯接口，應(yīng)用在SVI上的ACL是基于三層接口的ACL，主要過濾通過路由轉(zhuǎn)發(fā)的報(bào)文。若VLAN是一個(gè)Private VLAN，則無法運(yùn)用VACL和基于SVI的ACL，若VLAN是Super VLAN，則和普通VLAN相同。

實(shí)際應(yīng)用與案例分析

    以典型的高校解決方案為例。在該方案中，以銳捷S26系列作為接入層交換機(jī)連接各院系PC，各院系接入層交換機(jī)S26通過Trunk口上連匯聚層交換機(jī)S57，S57上有不同VLAN分別隔離各個(gè)院系。銳捷S86作為核心層交換機(jī)下連S57進(jìn)行高速轉(zhuǎn)發(fā)，并連接各種服務(wù)器，如FTP、HTTP服務(wù)器等，最后通過防火墻與Internet相連。

    校園網(wǎng)對ACL應(yīng)用通常有以下需求：

    1．S26所連接各院系PC，一個(gè)接口只允許一臺合法PC接入，不允許其他設(shè)備接入。

    2．各個(gè)院系間不能互相訪問和共享文件，即不允許各VLAN間數(shù)據(jù)流通過。

    3．Internt病毒無處不在，需要封堵各種病毒常用端口，以保障內(nèi)網(wǎng)安全。

    4．只允許校園內(nèi)部PC對校園服務(wù)器進(jìn)行訪問，拒絕外部PC的訪問。

    5．各院系PC必須在不同的VLAN中，以減少廣播，多播數(shù)據(jù)流對網(wǎng)絡(luò)的影響。

    針對以上需求，我們可以通過以下具體配置，設(shè)置ACL應(yīng)用：

核心層交換機(jī)S86關(guān)鍵配置

ip access-list extended Virus_Defence
10 deny tcp any any eq 69 //過濾任何目的端口為69的TCP報(bào)文
20 deny tcp any eq 69 any //過濾任何源端口為69的TCP報(bào)文
30 deny tcp any any eq 4444
40 deny tcp any eq 4444 any
50 deny tcp any any eq 135
60 deny tcp any eq 135 any
70 deny tcp any any eq 136
80 deny tcp any eq 136 any
90 deny tcp any any eq 137
100 deny tcp any eq 137 any
110 deny tcp any any eq 138
120 deny tcp any eq 138 any
130 deny tcp any any eq 139
140 deny tcp any eq 139 any
150 deny tcp any any eq 445
160 deny tcp any eq 445 any
170 deny tcp any any eq 593
180 deny tcp any eq 593 any
190 deny tcp any any eq 5554
200 deny tcp any eq 5554 any
210 deny tcp any any eq 9995
220 deny tcp any eq 9995 any
230 deny tcp any any eq 9996
240 deny tcp any eq 9996 any
250 deny udp any any eq 135
260 deny udp any eq 135 any
270 deny udp any any eq 136
280 deny udp any eq 136 any
290 deny udp any any eq netbios-ns
300 deny udp any eq netbios-ns any
310 deny udp any any eq netbios-dgm
320 deny udp any eq netbios-dgm any
330 deny udp any any eq netbios-ss
340 deny udp any eq netbios-ss any
350 deny udp any any eq 445
360 deny udp any eq 445 any
370 deny udp any any eq tftp
380 deny udp any eq tftp any
390 deny udp any any eq 593
400 deny udp any eq 593 any
410 deny udp any any eq 1433
420 deny udp any eq 1433 any
430 deny udp any any eq 1434
440 deny udp any eq 1434 any
450 permit tcp any any
460 permit udp any any
470 permit ip any any

匯聚層交換機(jī)S57關(guān)鍵配置

S5750#sh run
vlan 1
!
vlan 2
!
vlan 3
!
vlan 4
!
ip access-list extended inter_vlan_access1 //不允許VLAN2和VLAN3的PC
互訪
10 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
20 permit ip any any
!
ip access-list extended inter_vlan_access2 //不允許VLAN3和VLAN2的PC
互訪
10 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
20 permit ip any any
!
interface GigabitEthernet 0/22
switchport mode trunk
ip access-group inter_vlan_access1 in //(可選)禁止VLAN間互訪
!
interface GigabitEthernet 0/23
switchport mode trunk
ip access-group inter_vlan_access2 in //(可選)禁止VLAN間互訪
!
interface GigabitEthernet 0/24
switchport mode trunk
!
interface VLAN 2
no ip proxy-arp
ip access-group inter_vlan_access1 in //禁止VLAN間互訪，按照原則不使
用VACL
ip address 192.168.1.100 255.255.255.0
!
interface VLAN 3
no ip proxy-arp
ip access-group inter_vlan_access2 in //禁止VLAN間互訪，按照原則不使
用VACL
ip address 192.168.2.100 255.255.255.0
!
interface VLAN 4
no ip proxy-arp
ip address 192.168.4.1 255.255.255.0
!
End

    接入層交換機(jī)S26關(guān)鍵配置

S26_1#sh run
vlan 1
!
vlan 2
!
ip access-list standard 1 //一個(gè)接口只允許接入PC的IP地址為：192.168.
1.2
10 permit host 192.168.1.2
20 deny any
!
ip access-list standard 2//一個(gè)接口只允許接入PC的IP地址為：192.168.1.3
10 permit host 192.168.1.3
20 deny any
!
mac access-list extended 700 //一個(gè)接口只允許接入PC的MAC地址為：
0000.0000.0001
10 permit host 0000.0000.0001 any etype-any
20 deny any any etype-any
!
mac access-list extended 701 //一個(gè)接口只允許接入PC的MAC地址為：0000.
0000.0002
10 permit host 0000.0000.0002 any etype-any
20 deny any any etype-any
!
hostname S26_1
interface FastEthernet 0/1
switchport access vlan 2
ip access-group 1 in //每個(gè)接口只允許一個(gè)IP地址
!
interface FastEthernet 0/2
switchport access vlan 2
ip access-group 2 in //每個(gè)接口只允許一個(gè)IP地址
!
interface FastEthernet 0/3
switchport access vlan 2
mac access-group 700 in //(可選)每個(gè)接口只允許一個(gè)MAC地址
!
interface FastEthernet 0/4
switchport access vlan 2
mac access-group 701 in //(可選)每個(gè)接口只允許一個(gè)MAC地址

    通過實(shí)際測試表明，銳捷交換機(jī)的ACL功能，可以有效防止病毒、防止惡意攻擊、控制VLAN間數(shù)據(jù)流、控制服務(wù)器的訪問、控制用戶接入等，可以滿足應(yīng)用的需求。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：ACL應(yīng)用技術(shù)與配置實(shí)例

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155401.html