CCIE试验备考之交换security(

发布时间：2019-09-22 07:41:12编辑：auto阅读（1601）

第三部分  访问控制
1．RACL
针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。
在交换机中，用户可以在任何路由接口中应用RACL，其中包括如下接口：
*SVI（交换虚拟接口vlan端口）
*第3层端口或路由端口
*第3层端口通道
*其它第3层接口
2．VACL
VACL又称为VLAN访问映射表，应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤，也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样，vacl中条目的顺序并非无关紧要。VACL不定义方向（进或出）。一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

支持多种VACL操作：
* 转发（允许）：这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器（SPAN）选项，必须采用带capture选项的转发操作；SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备（如第三方IDS设备）很有用。
* 丢弃（拒绝）：流与某个ACL丢弃（拒绝）条目匹配后，将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配，且至少配置了一个针对数据包类型的ACL，则流中的数据包将被丢弃
* 重定向：VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。
 
配置方法：
1） 定义访问控制列表（标准、扩展、命名）
a.标准访问控制列表
access-list 列表编号 deny|permit 源地址 反掩码 [log]
* 列表编号：1-99
* deny:拒绝
* permit:允许
* 源地址：控制访问的源头
* 反掩码：any 是指任意主机，host是指某台主机
* log:记录到日志文件
案例：
Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
Switch(config)# end
Switch# show access-lists
Standard IP access list 2
    10 deny   171.69.198.102
    20 permit any
 
b.扩展访问控制列表
access-list 列表编号 deny|permit 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] [表达式]
* 列表编号：100-199
* 协议：IP、TCP、UDP、ICMP等，协议选项是区别标准访问列表的特征之一
* 表达式：eq 协议或端口号:等于协议或端口号
                gq 协议或端口号：小于指定的协议或端口号
                lq 协议或端口号：大于指定的协议或端口号

案例：
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
Switch(config)# end
Switch# show access-lists
Extended IP access list 102
    10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
    20 permit tcp any any

c.命名访问控制列表
命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。
    Ip access-list [standard|extended] 名称
    Permit|deny 标准和扩展有所不同

案例：
Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
2） 定义VACL映射表
    vlan access-map 名称
a)  匹配指定的IP访问控制列表    match ip address 访问列表号
         匹配指定的mac访问控制列表   match mac address 访问控制列表
b) 指定对符合条件的流量进行何动作    action drop|forward

案例：
switch(config)#vlan access-map test
switch(config-access-map)#match ip address 101
switch(config-access-map)#action forward
3） 将VACL映射表应用到某个VLAN
    vlan filter 映射表名称 vlan-list vlan列表

案例：
    vlan filter test vlan-list 10

4） 验证结果
    show vlan access-map 名称
 
Switch#show vlan access-map
Vlan access-map "test"  10
  Match clauses:
    ip  address: 100
  Action:
    drop
Vlan access-map "test"  20
  Match clauses:
  Action:
    forward
---------------------------------------------------
show vlan filter access-map 名称 | vlan vlan号

Switch#show vlan filter
VLAN Map test is filtering VLANs:
  11-13

案例：
主机X和主机Y位于不同的VLAN，交换机B已经对这两个VLAN做了vlan间的路由
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map2 10
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# ip access-list extended match_all
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map2 20
Switch(config-access-map)# match ip address match_all
Switch(config-access-map)# action forward
Switch(config)# vlan filter map2 vlan 1
要注意vlan间的acl和vacl之间的区别
 
3.PACL
通过控制端口级别的流量，PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。
在使用PACL的时候，能够在第2层接口上应用如下的ACL:
* 标准访控（针对源IP地址）
* 扩展访控（针对源IP地址和目标IP地址以及用于第4层协议类型信息）
* MAC扩展访控（针对源和目标MAC地址，还可以使用第3层协议类型信息）
当PACL应用于trunk端口上时，ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候，ACL将过滤数据和语音VLAN的流量。
对于PACL，通过采用IP访问控制列表，将能够过滤IP流量，通过采用MAC访问控制列表，将能够过滤非IP流量。此外，通过在接口上应用IP访问控制列表和MAC访问列表，将能够过滤相同的第2层接口上IP流量和非IP流量。

配置MAC扩展访控：
1）进入全局模式   configure terminal
2）定义mac扩展访控名称
    mac access-list extended 名称
3） 定义相应访问控制列表语句
    deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos]
4） 应用访问控制列表到第2层接口
    进入接口模式     interface 接口
    应用访控         mac access-group 访控名称 in
                 对于端口ACL而言，只有进入的方向可以加访控
5） 验证结果
    show  access-lists [列表号|名称]
    show access-group [interface 接口]
 
案例：
switch#configure terminal
switch(config)#mac access-list extended cisco
switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.1111
switch(config-ext-macl)#exit
switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.2
switch(config)#access-list 101 permit ip any any
switch(config)#interface f0/23
switch(config-if)#switchport mode trunk
switch(config-if)#ip access-group 101 in
switch(config-if)#mac access-group cisco in
switch(config-if)#end
switch#show access-lists
switch#show access-group interface f0/23

案例：
CCIE-LAB(v133)
题目要求：
Assume that connected to port f0/15 on SW1 is a host sending Ethernet Type 6000 frames into the network configures an access-list to block only this traffic allowing other frames to enter into the network.Please use “Block_eth6000” as the name of access-list.
配置：
SW1
configure terminal
mac access-list extended Block_eth6000
   deny any any etype-6000
  permit any any
interface f0/15
  switchport mode access
  mac access-group Block_eth6000 in

关键字：