安全技術(shù)1：ACL

說明：ACL （Access Control List，訪問控制列表）主要用來實(shí)現(xiàn)流識(shí)別功能。網(wǎng)絡(luò)設(shè)備為過濾數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識(shí)別需要過濾的報(bào)文。在識(shí)別出特定的報(bào)文之后，才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。 ACL 通過一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。 由ACL 定義的數(shù)據(jù)包匹配規(guī)則，可以被其它需要對(duì)流量進(jìn)行區(qū)分的功能引用，如QoS 中流分類規(guī)則的定義。 根據(jù)應(yīng)用目的，可將ACL 分為下面幾種：?

?基本ACL ：只根據(jù)三層源IP 地址制定規(guī)則。

高級(jí)ACL ：根據(jù)數(shù)據(jù)包的源 IP 地址信息、目的 IP 地址信息、IP 承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。 二層ACL ：根據(jù)源MAC地址、目的MAC地址、VLAN 優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則。

ACL 在交換機(jī)上的應(yīng)用方式 1. ACL直接下發(fā)到硬件中的情況 交換機(jī)中ACL 可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中報(bào)文的過濾和流分類。此時(shí)一條 ACL 中多個(gè)規(guī)則的匹配順序是由交換機(jī)的硬件決定的，用戶即使在定義ACL 時(shí)配置了匹配順序，該匹配順序也不起作用。 ACL 直接下發(fā)到硬件的情況包括：交換機(jī)實(shí)現(xiàn) QoS 功能時(shí)引用ACL 、通過 ACL 過濾轉(zhuǎn)發(fā)數(shù)據(jù)等。

2. ACL被上層模塊引用的情況

交換機(jī)也使用ACL 來對(duì)由軟件處理的報(bào)文進(jìn)行過濾和流分類。此時(shí)ACL 規(guī)則的匹

配順序有兩種：config（指定匹配該規(guī)則時(shí)按用戶的配置順序）和 auto（指定匹配

該規(guī)則時(shí)系統(tǒng)自動(dòng)排序，即按“深度優(yōu)先”的順序）。這種情況下用戶可以在定義

ACL 的時(shí)候指定一條ACL 中多個(gè)規(guī)則的匹配順序。用戶一旦指定某一條ACL 的匹

配順序，就不能再更改該順序。只有把該列表中所有的規(guī)則全部刪除后，才能重新

指定其匹配順序。

ACL 被軟件引用的情況包括：對(duì)登錄用戶進(jìn)行控制時(shí)引用ACL 等。

ACL 匹配順序

ACL 可能會(huì)包含多個(gè)規(guī)則，而每個(gè)規(guī)則都指定不同的報(bào)文范圍。這樣，在匹配報(bào)文

時(shí)就會(huì)出現(xiàn)匹配順序的問題。

ACL 支持兩種匹配順序：

?? 配置順序：根據(jù)配置順序匹配ACL 規(guī)則。

?? 自動(dòng)排序：根據(jù)“深度優(yōu)先”規(guī)則匹配ACL 規(guī)則。

“深度優(yōu)先”規(guī)則說明如下：

IP ACL（基本和高級(jí) ACL ）的深度優(yōu)先以源IP 地址掩碼和目的 IP 地址掩碼長度排

序，掩碼越長的規(guī)則位置越靠前。排序時(shí)先比較源IP 地址掩碼長度，若源 IP 地址

掩碼長度相等，則比較目的IP 地址掩碼長度。例如，源IP 地址掩碼為 255.255.255.0

的規(guī)則比源IP 地址掩碼為 255.255.0.0的規(guī)則匹配位置靠前。

案例：

擴(kuò)展acl運(yùn)用拓?fù)鋱D：實(shí)現(xiàn)vlan10 20 30 不能互訪，但是可以訪問40vlan。

?

路由器配置：

? acl 3000 match-order auto

??? rule normal permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

??? rule normal permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

??? rule normal permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

rule normal deny ip source any destination any

?

??interface Ethernet1.1

??? vlan-type dot1q vid 10

??? ip address 192.168.10.1 255.255.255.0

??? firewall packet-filter 3000 inbound

? interface Ethernet1.2

??? vlan-type dot1q vid 20

??? ip address 192.168.20.1 255.255.255.0

??? firewall packet-filter 3000 inbound

? interface Ethernet1.3

??? vlan-type dot1q vid 30

??? ip address 192.168.30.1 255.255.255.0

??? firewall packet-filter 3000 inbound

? interface Ethernet1.4

??? vlan-type dot1q vid 40

??? ip address 192.168.40.1 255.255.255.0

??? firewall packet-filter 3000 inbound

?

交換機(jī)配置

?

vlan 10

name vlan10

vlan 20

name TEC

vlan 30

vlan 40

name SERVER

?????????????????????????????????????

interface Ethernet0/2

port access vlan 10

interface Ethernet0/4

port access vlan 20

port access vlan 30

interface Ethernet0/8

port access vlan 40

interface Ethernet0/24

port link-type trunk

port trunk permit vlan all

?dot1x

?

測試結(jié)果：

Vlan10 訪問20：

?

Vlan10 訪問40：

?

定義基于時(shí)間的acl

該實(shí)驗(yàn)實(shí)現(xiàn)不在該時(shí)間范圍內(nèi)的主機(jī)可以一直訪問internet，10.2網(wǎng)段的主機(jī)可以訪問30.2的主機(jī)，20.0網(wǎng)段不可以訪問。

?

port? access? vlan? 30

測試：

10.2的主機(jī)可以訪問30.2的主機(jī)：

20.2的主機(jī)無法訪問30.2的主機(jī)：

安全技術(shù)2：am

說明：

訪問管理簡介

用戶通過以太網(wǎng)交換機(jī)接入外部網(wǎng)絡(luò)是一種典型的以太網(wǎng)接入組網(wǎng)方案――外部網(wǎng)

絡(luò)與以太網(wǎng)交換機(jī)相連 以太網(wǎng)交換機(jī)與 HUB相連 HUB匯集數(shù)量不等的 PC 組

當(dāng)以太網(wǎng)交換機(jī)接入的用戶數(shù)量不多時(shí) 從成本方面考慮 分配給不同企業(yè)的端口

要求屬于同一個(gè) VLAN 同時(shí)為每個(gè)企業(yè)分配固定的 IP 地址范圍 只有 IP 地址

在該地址范圍內(nèi)的用戶才能通過該端口接入外部網(wǎng)絡(luò) 另外出于安全的考慮 不

同企業(yè)之間不能互通 利用以太網(wǎng)交換機(jī)提供的訪問管理功能 端口和 IP 地址的綁

定端口間的二層隔離可以實(shí)現(xiàn)這些需求下面將結(jié)合圖9-1用一個(gè)實(shí)例來具體

說明

機(jī)構(gòu)1 和機(jī)構(gòu) 2 同處一個(gè) VLAN 通過同一臺(tái)以太網(wǎng)交換機(jī)與外部網(wǎng)絡(luò)相連 分配

給機(jī)構(gòu) 1 的IP 地址范圍為 202.10.20.1 202.10.20.20 只有IP 地址在該地址范圍

內(nèi)的PC才能通過端口 1 接入外部網(wǎng)絡(luò) 也就是將端口 1 和IP 地址 202.10.20.1

202.10.20.20 進(jìn)行了綁定 同樣 分配給機(jī)構(gòu) 2 的IP 地址范圍為 202.10.20.21

202.10.20.50 只有IP 地址在該范圍內(nèi)的 PC才能通過端口 2 接入外部網(wǎng)絡(luò) 也就

是將端口 2 和IP 地址 202.10.20.21 202.10.20.50 進(jìn)行了綁定?

由于兩個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備處在同一個(gè) VLAN 中如果不采用有效的隔離措施 機(jī)構(gòu)

1 內(nèi)的PC將有可能和機(jī)構(gòu) 2 中的 PC實(shí)現(xiàn)互通 通過在以太網(wǎng)交換機(jī)的端口上配置

二層隔離功能 可以控制從端口 1 發(fā)出的報(bào)文不被端口 2 接收 端口2 發(fā)出的報(bào)文

不被端口 1 接收 從而將端口 1 與端口 2 隔離開來 保證了各機(jī)構(gòu)的 PC只能與機(jī)

構(gòu)內(nèi)的其他 PC正常通信?

?

案例：

pc1 連接到以太網(wǎng)交換機(jī)的端口 1 ,pc2 連接到以太網(wǎng)交換機(jī)的端口 2 端口 1

和端口 2 屬于同一個(gè) VLAN 端口1 下可以接入的 IP 地址范圍為 192.168.10.1~192.168.10.20 ,端口 2 下可以接入的 IP 地址范圍為 192.168.10.21~192.168.10.50

機(jī)構(gòu)1 和機(jī)構(gòu) 2 的設(shè)備不能互通?

#? 全局開啟訪問管理功能?

[Quidway] am enable

#? 配置端口 1 上的訪問管理 IP 地址池?

[Quidway-Ethernet0/1] am ip-pool 192.168.100.1 10

#? 設(shè)置端口 1 與端口 2 二層隔離?

[Quidway-Ethernet0/1] am isolate ethernet0/2

#? 配置端口 2 上的訪問管理 IP 地址池?

[Quidway-Ethernet0/2] am ip-pool 192.168.100.11 20 ?

?

測試：

Pc1和pc2處于指定ip范圍時(shí)：

Pc1訪問pc2，此時(shí)不通

?

去掉端口隔離時(shí)：

Pc1訪問pc2：此時(shí)通了

Pc1和pc2不處于指定ip范圍時(shí)：此時(shí)又不通了

?

轉(zhuǎn)載于:https://blog.51cto.com/xiaogang6/822781

總結(jié)

以上是生活随笔為你收集整理的华为网络设备上的常用安全技术（一）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。