请详细阅读操作文档,结合实际情况进行配置:
若操作不当将可能导致网络卡顿甚至断网等异常情况。
若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。
若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
应用场景:
当您的网络出现比较明显的病毒攻击,影响你的局域网的大部分PC无法相互访问,或者是无法上网的时候,或者是个别重要服务器经常由于病毒攻击而瘫痪的时候,就可以考虑在接入层交换机的各个端口,或者是连接服务器区的交换机端口上部署防病毒ACL,并且该功能也可以作为常规优化手段,推荐项目实施的时候提前部署。
功能简介:
ACLs 的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACLs 通过定
义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃。对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用
的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)决定是允
许其通过(Permit)还是丢弃(Deny)。
ACLs 由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行
为。访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议,时间区域等信息,通常分为如下几种类型的ACL:
IP标准ACL,IP扩展ACL,MAC扩展ACL,专家级Expert ACL,IPv6扩展ACL,报文的前80字节的ACL 80等。
ACL部署原则:
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
原则:根据减少不必要通信流量的通行准则,管理员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。
举个例子:我们经常见到对常见病毒端口进行过滤的ACL,那么这种ACL应用在哪里比较合适呢?
对于网络中的用户来说,这个防病毒端口的过滤显然用在最接近用户的交换机上来做比较好,这样可以从源头上控制被感染的机器采用病毒端口进行通讯,减少对其他交换机上用户带来的应用。
如果要控制外网进来的流量对服务器的端口访问过滤,那么这种限制就应该放在这个网络的出口处较好,这样可以将这种非法流量从一开始就拒之门外。当然如果内网也需要对服务器的端口访问进行过滤,那么由于内网的源IP很多,目的IP一致的情况下,在靠近目标IP的地方做ACL过滤,因为这样只需要一个ACL即可,否则你需要在很多设备上去分别部署,因为你要控制所有的源到这个目的IP的访问,影响效率。而如果你在接近服务器的交换机上部署ACL,那么你只需要一个ACL即可。
总结如下:
1、对常见的病毒端口过滤的ACL,一般部署在接入层交换机上。
2、对外提供公共服务器的服务器,一般建议在接近服务器的交换机上控制对其端口的访问。
3、对于网段间的互访,根据实际情况,可以选择在源或目的网段上做控制,也可以在网络较大的情况,网段互访规则较多的情况下,在中间核心设备上集中部署。
4、对于上下级机构、内外网访问规则间的访问控制,建议在边界设备上集中部署,比如出口路由器,防火墙等。
1、常见防病毒ACL
一、组网需求
客户要求对接入交换机应用防病毒ACL,过滤常见的病毒端口,实现基本安全防护,ACL可以方便的添加或删除其中的部分条目。
二、配置要点
1、部署扩展ACL,添加防病毒的条目;
2、在物理端口上应用ACL;
3、添加或删除部分条目;
三、组网拓扑
四、配置步骤
交换机 SW的配置命令如下:
1、定义ACL
Ruijie>en
Ruijie# configure terminal
Ruijie(config)# ip access-list extended defencevirus——>在配置模式下创建扩展访问列表防病毒ACL
Ruijie(config-ext-nacl)# 10 deny tcp any any eq 27665 ——>下述防病毒端口来源于日常实践经验
Ruijie(config-ext-nacl)# 20 deny tcp any any eq 16660
Ruijie(config-ext-nacl)# 30 deny tcp any any eq 65000
Ruijie(config-ext-nacl)# 40 deny tcp any any eq 33270
Ruijie(config-ext-nacl)# 50 deny tcp any any eq 39168
Ruijie(config-ext-nacl)# 60 deny tcp any any eq 6711
Ruijie(config-ext-nacl)# 70 deny tcp any any eq 6712
Ruijie(config-ext-nacl)# 80 deny tcp any any eq 6776
Ruijie(config-ext-nacl)# 90 deny tcp any any eq 6669
Ruijie(config-ext-nacl)# 100 deny tcp any any eq 2222
Ruijie(config-ext-nacl)# 110 deny tcp any any eq 7000
Ruijie(config-ext-nacl)# 120 deny tcp any any eq 135
Ruijie(config-ext-nacl)# 130 deny tcp any any eq 136
Ruijie(config-ext-nacl)# 140 deny tcp any any eq 137
Ruijie(config-ext-nacl)# 150 deny tcp any any eq 138
Ruijie(config-ext-nacl)# 160 deny tcp any any eq 139
Ruijie(config-ext-nacl)# 170 deny tcp any any eq 445
Ruijie(config-ext-nacl)# 180 deny tcp any any eq 4444
Ruijie(config-ext-nacl)# 190 deny tcp any any eq 5554
Ruijie(config-ext-nacl)# 200 deny tcp any any eq 9996
Ruijie(config-ext-nacl)# 210 deny tcp any any eq 3332
Ruijie(config-ext-nacl)# 220 deny tcp any any eq 1068
Ruijie(config-ext-nacl)# 230 deny tcp any any eq 455
Ruijie(config-ext-nacl)# 240 deny udp any any eq 31335
Ruijie(config-ext-nacl)# 250 deny udp any any eq 27444
Ruijie(config-ext-nacl)# 260 deny udp any any eq 135
Ruijie(config-ext-nacl)# 270 deny udp any any eq 136
Ruijie(config-ext-nacl)# 280 deny udp any any eq netbios-ns
Ruijie(config-ext-nacl)# 290 deny udp any any eq netbios-dgm
Ruijie(config-ext-nacl)# 300 deny udp any any eq netbios-ss
Ruijie(config-ext-nacl)# 310 deny udp any any eq 445
Ruijie(config-ext-nacl)# 320 deny udp any any eq 4444
Ruijie(config-ext-nacl)# 330 permit ip any any
Ruijie(config-ext-nacl)#exit
2、应用在接口上
Ruijie(config)#interface range fastEthernet 0/1-24
Ruijie(config-if-range)#ip access-group defencevirus in
3、添加或删除ACE
Ruijie(config-ext-nacl)#15 deny tcp any any eq 707 ——>编号15,可以插入序号10和20之间,保持编写防病毒条目的有序性。默认每个条目之间以10递增序号。
Ruijie(config-ext-nacl)#no 15 ——>删除编号15的条目
特殊说明:
由于ACL使用硬件表项安装,ACL条目过多,端口应用较多时,可能出现ACL资源表项不足。S26I/S26S支持全局防病毒ACL,多个端口同时使用时,和一个端口应用所消耗的硬件资源表项相同,可以有效节省硬件资源表项。
S26I、S26S支持全局防病毒ACL,所有条目全部为Deny 方式,不支持Permit的条目,全局配置前需要配置例外口。
Ruijie(config)# ip access-list extended defencevirus——>在配置模式下创建扩展访问列表防病毒ACL
Ruijie(config-ext-nacl)# 10 deny tcp any any eq 27665 ——>下述防病毒端口来源于日常实践经验
Ruijie(config-ext-nacl)# 20 deny tcp any any eq 16660
Ruijie(config-ext-nacl)# 30 deny tcp any any eq 65000
Ruijie(config-ext-nacl)# 40 deny tcp any any eq 33270
Ruijie(config-ext-nacl)# 50 deny tcp any any eq 39168
Ruijie(config-ext-nacl)# 60 deny tcp any any eq 6711
Ruijie(config-ext-nacl)# 70 deny tcp any any eq 6712
Ruijie(config-ext-nacl)# 80 deny tcp any any eq 6776
Ruijie(config-ext-nacl)# 90 deny tcp any any eq 6669
Ruijie(config-ext-nacl)# 100 deny tcp any any eq 2222
Ruijie(config-ext-nacl)# 110 deny tcp any any eq 7000
Ruijie(config-ext-nacl)# 120 deny tcp any any eq 135
Ruijie(config-ext-nacl)# 130 deny tcp any any eq 136
Ruijie(config-ext-nacl)# 140 deny tcp any any eq 137
Ruijie(config-ext-nacl)# 150 deny tcp any any eq 138
Ruijie(config-ext-nacl)# 160 deny tcp any any eq 139
Ruijie(config-ext-nacl)# 170 deny tcp any any eq 445
Ruijie(config-ext-nacl)# 180 deny tcp any any eq 4444
Ruijie(config-ext-nacl)# 190 deny tcp any any eq 5554
Ruijie(config-ext-nacl)# 200 deny tcp any any eq 9996
Ruijie(config-ext-nacl)# 210 deny tcp any any eq 3332
Ruijie(config-ext-nacl)# 220 deny tcp any any eq 1068
Ruijie(config-ext-nacl)# 230 deny tcp any any eq 455
Ruijie(config-ext-nacl)# 240 deny udp any any eq 31335
Ruijie(config-ext-nacl)# 250 deny udp any any eq 27444
Ruijie(config-ext-nacl)# 260 deny udp any any eq 135
Ruijie(config-ext-nacl)# 270 deny udp any any eq 136
Ruijie(config-ext-nacl)# 280 deny udp any any eq netbios-ns
Ruijie(config-ext-nacl)# 290 deny udp any any eq netbios-dgm
Ruijie(config-ext-nacl)# 300 deny udp any any eq netbios-ss
Ruijie(config-ext-nacl)# 310 deny udp any any eq 445
Ruijie(config-ext-nacl)# 320 deny udp any any eq 4444
Ruijie(config-ext-nacl)#exit
全局ACL例外口配置: ——>一定要配置
Ruijie(config)#interface gi0/25
Ruijie(config-if)# no global ip access-group denyvirus
全局ACL配置:
Ruijie(config)# ip access-group denyvirus in
五、功能验证
查看ACL配置命令及应用:
Ruijie(config)#show ip access-group ——>查看ACL应用情况
ip access-group defencevirus in
Applied On interface GigabitEthernet 0/1.
Ruijie# show access-lists ——>查看ACL条目
ip access-list extended defencevirus
10 deny tcp any any eq 27665
15 deny tcp any any eq 707
20 deny tcp any any eq 16660
30 deny tcp any any eq 65000
40 deny tcp any any eq 33270
50 deny tcp any any eq 39168
60 deny tcp any any eq 6711
70 deny tcp any any eq 6712
80 deny tcp any any eq 6776
90 deny tcp any any eq 6669
100 deny tcp any any eq 2222
110 deny tcp any any eq 7000
120 deny tcp any any eq 135
130 deny tcp any any eq 136
140 deny tcp any any eq 137
150 deny tcp any any eq 138
160 deny tcp any any eq 139
170 deny tcp any any eq 445
180 deny tcp any any eq 4444
190 deny tcp any any eq 5554
200 deny tcp any any eq 9996
210 deny tcp any any eq 3332
220 deny tcp any any eq 1068
230 deny tcp any any eq 455
240 deny udp any any eq 31335
250 deny udp any any eq 27444
260 deny udp any any eq 135
270 deny udp any any eq 136
280 deny udp any any eq netbios-ns
290 deny udp any any eq netbios-dgm
300 deny udp any any eq netbios-ss
310 deny udp any any eq 445
320 deny udp any any eq 4444
330 permit ip any any
五、配置脚本
ip access-list extended defencevirus
10 deny tcp any any eq 27665
20 deny tcp any any eq 16660
30 deny tcp any any eq 65000
40 deny tcp any any eq 33270
50 deny tcp any any eq 39168
60 deny tcp any any eq 6711
70 deny tcp any any eq 6712
80 deny tcp any any eq 6776
90 deny tcp any any eq 6669
100 deny tcp any any eq 2222
110 deny tcp any any eq 7000
120 deny tcp any any eq 135
130 deny tcp any any eq 136
140 deny tcp any any eq 137
150 deny tcp any any eq 138
160 deny tcp any any eq 139
170 deny tcp any any eq 445
180 deny tcp any any eq 4444
190 deny tcp any any eq 5554
200 deny tcp any any eq 9996
210 deny tcp any any eq 3332
220 deny tcp any any eq 1068
230 deny tcp any any eq 455
240 deny udp any any eq 31335
250 deny udp any any eq 27444
260 deny udp any any eq 135
270 deny udp any any eq 136
280 deny udp any any eq netbios-ns
290 deny udp any any eq netbios-dgm
300 deny udp any any eq netbios-ss
310 deny udp any any eq 445
320 deny udp any any eq 4444
330 permit ip any any
!
2、配置TCP单向访问控制
一、组网需求
客户要求阻止网络B (192.168.100.0)的主机发起到网络 A(192.168.200.0) 的TCP 通信请求,但主机A可以主动访问B,B也可以进行报文回复,实现单向控制的目的。
限制事项:(交换机依靠TCP FLAG实现只能实现基于TCP的限制,ICMP报文和UDP报文无法限制)
二、配置要点
为了在一定程度上保证网络A的安全,要求只允许网络 A 的主机向网络B主机发起的TCP通信请求,B可以证实回应报文,进行双向通信。但是不允许网络B 的主机发起到网络 A 的TCP 通信请求。
三、组网拓扑
四、配置步骤
说明:环境要求阻止网络B 的主机发起到网络 A 的TCP 通信请求,只要过滤从网络B发起经过中间设备G3/2口转发的TCP连接请求报文即可。分析TCP连接过程可知,TCP初始请求报文的TCP首部标志字段的SYN置1且ACK标志位为0。因此,我们可以通过配置扩展访问控制列表的Match-all选项,在G3/2端口的入口方向,对TCP首部SYN标志位置1且ACK标志位为0的报文进行过滤,即可实现网络A单向访问网络B的应用。
方法1:在B上做控制
交换机 SWB的配置命令如下:
Ruijie>en
Ruijie# configure terminal
Ruijie(config)# ip access-list extended 101 ——>在配置模式下创建扩展访问列表ACL101
Ruijie(config-ext-nacl)# deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 match-all syn ——>拒绝TCP Flag的SYN=1,且其它(包含ACK标志位)标志位为0的报文通过
Ruijie(config-ext-nacl)# permit ip any any ——>允许其它IP报文通过
Ruijie(config-ext-nacl)# exit
Ruijie(config)# interface gigabitEthernet 3/2 ——>进入应用此访问列表的接口G3/2
Ruijie(config-if)# ip access-group 101 in ——>将ACL 101应用于G3/2入方向的包过滤
Ruijie(config-if)#end
Ruijie#wr
方法2: 在A上做控制
Ruijie# configure terminal
Ruijie(config)# ip access-list extended 101 ——>在配置模式下创建扩展访问列表ACL101
Ruijie(config-ext-nacl)# deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 match-all syn ——>拒绝TCP Flag的SYN=1,且其它(包含ACK标志位)标志位为0的报文通过
Ruijie(config-ext-nacl)# permit ip any any ——>允许其它IP报文通过
Ruijie(config-ext-nacl)# exit
Ruijie(config)# interface VLAN 100——>进入A网段的VLAN
Ruijie(config-if-VLAN100)# ip access-group 101 out ——>将ACL 101应用于A网段出口方向的包过滤
Ruijie(config-if)#end
Ruijie#wr
五、功能验证
查看ACL配置命令:
Ruijie# show access-lists 101
ip access-list extended 101
10 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 match-all syn
20 permit ip any any
通过验证可以确认此时PC-B无法主动发起TCP连接访问PC-A,但是由于只是限制TCP连接,对于ICMP或UDP报文,依然可以主动访问到PC-A。
3、基于时间的ACL
一、组网需求
白天上班时间(9:00~12:00及 14:00~18:00),禁止内网PC访问互联网,其它时间段可以访问互联网,内网之间互访的流量不受限制。
二、组网拓扑
三、配置要点
1、要先配置设备的时间,ACL的生效时间,参照的是本设备的时间
2、时间段不能跨0:00,即如果要写晚上10:00点到第二天早上7:00的时间段,需要分两段写
Ruijie(config)#time-range aaa
Ruijie(config-time-range)#periodic daily 0:00 to 7:00
Ruijie(config-time-range)#periodic daily 22:00 to 23:59
3、标准ACL及扩展ACL都支持基于时间段来控制
四、配置步骤
1、配置设备时间
Ruijie>enable
Ruijie(config)#clock timezone beijing 8 —–> 设置设备的时区为东8区
Ruijie(config)#exit
Ruijie#clock set10:00:00 12 1 2012 —–> clock set 小时:分钟:秒 月 日 年
Ruijie#configure terminal —–> 进入全局配置模式
2、配置时间段参数
Ruijie(config)#time-range work —–>定义一个名字为work的时间段
Ruijie(config-time-range)#periodic daily 9:00 to 12:30
Ruijie(config-time-range)#periodic daily 14:00 to 18:30
Ruijie(config-time-range)#exit
3、配置关联时间段的ACL
Ruijie(config)#ip access-list extended 100
Ruijie(config-ext-nacl)#5 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 —–>允许访问校内网段
Ruijie(config-ext-nacl)#10 deny ip 192.168.1.0 0.0.0.255 any time-range work —–>在work的时间段,拒绝内网192.168.1.0 /24到外网的任何流量
Ruijie(config-ext-nacl)#20 permit ip any any —–>配置允许其它流量(必须配置,当时间ACL失效时匹配这条安全策略,不做控制),ACL最后隐含一条deny any语句,会拒绝所有流量
Ruijie(config-ext-nacl)#exit
4、接口下调用
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#ip access-group 100 in —–>在内网口调用配置好的acl 100
5、保存配置
Ruijie(config-if-GigabitEthernet 0/1)#end
Ruijie#write —–> 确认配置正确,保存配置
五、配置验证
1、通过如上的clock set调整设备的时间,内网PC分别测试是否能够上互联网,上班时间(9:00-12:00 14:00-18:00)内网PC不能访问互联网,非上班时间,内网PC可以访问互联网。
2、查看设备的相应配置
1)查看设备的时间
Ruijie#show clock
10:14:01 beijing Sat, Dec 1, 2012
2)查看acl的配置
Ruijie#show access-lists
ip access-list extended 100
5 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
10 deny ip 192.168.1.0 0.0.0.255 any time-range work (active) —–>acl的状态为生效,因为当前设备时间为上班时间
20 permit ip any any
Ruijie#
3)查看acl在接口下的调用
Ruijie#show ip access-group
ip access-group 100 in
Applied On interface GigabitEthernet 0/1.
4、禁止网段互访
一、组网需求
某公司里面有办公网vlan10,访客网vlan20,服务器网vlan30,但是只有办公网能够访问服务器网段vlan30,访客网不能访问。
二、组网拓扑
三、配置要点
前提:该配置是在网络已经通了的情况做的配置,其他网络配置不一一举例,
1、配置ACL
2、在接口上调用
四、配置步骤
1、配置ACL
Ruijie>en
Ruijie#config ter
Ruijie(config)#ip access-list extended 100
Ruijie(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 —->允许办公网访问服务器网
Ruijie(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 —–>禁止访客网访问服务器网
Ruijie(config-ext-nacl)#permit ip any any —–>放通访问其他资源
Ruijie(config-ext-nacl)#exit
2、接口下调用
Ruijie(config)#interface vlan 10Ruijie(config-if-vlan 10)#ip access-group 100 in —–>调用在服务器所在的SVI进接口方向 Ruijie(config-if-vlan 10)#interface vlan 20Ruijie(config-if-vlan 20)#ip access-group 100 in —–>调用在访客网所在的SVI进接口方向
3、保存配置
Ruijie(config-if-vlan 20)#end Ruijie#write —–> 确认配置正确,保存配置
五、配置验证。
查看设备的相应配置
1)查看acl的配置
Ruijie#show access-lists
ip access-list extended 100
10 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
20 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip any any
2)查看acl在接口下的调用
Ruijie#show ip access-group
ip access-group 100 in
Applied On interface VLAN 10
Applied On interface VLAN 20
实训目的
掌握Trunk口的基本概念。
交换机Trunk端口配置,允许多个VLAN通过。
实训背景
在现实中,一台交换机往往要划分多个VLAN,并使用Trunk口将数据传到核心交换机上,所以在网络部署中,配置Trunk是很重要的。交换机之间互联并且让不同VLAN数据都能通过的端口就称为Trunk端口。需要注意的是Trunk不能实现不同VLAN间通信,不同VLAN之间通信,需要通过三层设备(三层交换机)来实现。
实训拓扑
实验所需设备:
|设备类型|设备型号|数量|
|-|-|-:|
|二层交换机|S3760|2|
|主机|Windows 10|4|
实训步骤
步骤1:基本配置。
SW1:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#hostname SW1
SW1(config)#
SW2:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#hostname SW2
SW2(config)#
步骤2:全网基本IP地址配置。
PC1:
PC2:
PC3:
PC4:
步骤3:在交换机上创建VLAN10,20并划分端口。
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#exit
SW1(config)#interface fastEthernet 0/2
SW1(config-if-FastEthernet 0/2)#switchport access vlan 10
SW1(config-if-FastEthernet 0/2)#exit
SW1(config)#interface fastEthernet 0/3
SW1(config-if-FastEthernet 0/3)#switchport access vlan 20
SW1(config-if-FastEthernet 0/3)#exit
SW1(config)#
SW2(config)#vlan 10
SW2(config-vlan)#vlan 20
SW2(config-vlan)#exit
SW2(config)#interface fastEthernet 0/2
SW2(config-if-FastEthernet 0/2)#switchport access vlan 10
SW2(config-if-FastEthernet 0/2)#exit
SW2(config)#interface fastEthernet 0/3
SW2(config-if-FastEthernet 0/3)#switchport access vlan 20
SW2(config-if-FastEthernet 0/3)#exit
SW2(config)#
步骤4:把SW1与SW2的互联口配置为Trunk模式。
SW1(config)#interface fastEthernet 0/1
SW1(config-if-FastEthernet 0/1)#switchport mode trunk
SW1(config-if-FastEthernet 0/1)#end
SW1#
SW2(config)#interface fastEthernet 0/1
SW2(config-if-FastEthernet 0/1)#switchport mode trunk
SW2(config-if-FastEthernet 0/1)#end
SW2#
步骤5:查看交换机配置,确认配置正确。
SW1#show interfaces switchport
步骤6:PC1 Ping PC3 可以通。PC2 Ping PC4 可以通。说明SW1和SW2的Vlan数据可以互通。