VietNetwork.Vn

Hiểu về Access List ACL

Lọc gói có thể giúp hạn chế lưu lượng mạng và hạn chế sử dụng mạng bởi một số người dùng hoặc thiết bị nhất định. ACL lọc lưu lượng khi nó đi qua một switch và cho phép hoặc từ chối các gói đi qua các interface được chỉ định. ACL là một tập hợp tuần tự các giấy phép và từ chối các điều kiện áp dụng cho các gói. Khi một gói được nhận trên một giao diện, switch sẽ so sánh các trường trong gói với bất kỳ ACL nào được áp dụng để xác minh rằng gói có các quyền cần thiết được chuyển tiếp, dựa trên các tiêu chí được chỉ định trong danh sách truy cập. Từng cái một, nó kiểm tra các gói theo các điều kiện trong danh sách truy cập. Trận đấu đầu tiên quyết định xem switch có chấp nhận hoặc từ chối các gói không. Vì switch dừng kiểm tra sau trận đấu đầu tiên, nên thứ tự các điều kiện trong danh sách là rất quan trọng. Nếu không có điều kiện phù hợp, switch từ chối gói. Nếu không có hạn chế, switch chuyển tiếp gói; mặt khác, switch chặn gói. Switch có thể sử dụng ACL trên tất cả các gói mà nó chuyển tiếp.

Bạn định cấu hình danh sách truy cập trên một switch để cung cấp bảo mật cơ bản cho mạng của bạn. Nếu bạn không định cấu hình ACL, tất cả các gói đi qua bộ chuyển mạch có thể được phép trên tất cả các phần của mạng. Bạn có thể sử dụng ACL để kiểm soát các host nào có thể truy cập các phần khác nhau của mạng hoặc để quyết định loại lưu lượng nào được chuyển tiếp hoặc chặn. Ví dụ: bạn có thể cho phép lưu lượng email được chuyển tiếp nhưng không phải lưu lượng Telnet.

Một ACL chứa một danh sách theo thứ tự các mục kiểm soát truy cập (ACE). Mỗi ACE chỉ định giấy phép hoặc từ chối và một tập hợp các điều kiện mà gói phải đáp ứng để phù hợp với ACE. Ý nghĩa của giấy phép hoặc từ chối tùy thuộc vào bối cảnh sử dụng ACL.

Switch hỗ trợ ACL IP và ACL Ethernet (MAC):

• IP ACL lọc lưu lượng truy cập IPv4, bao gồm TCP, Giao thức gói dữ liệu người dùng (UDP), Giao thức quản lý nhóm Internet (IGMP) và Giao thức tin nhắn điều khiển Internet (ICMP).
• Ethernet ACL lọc lưu lượng không phải IP.

Switch này cũng hỗ trợ các ACL phân loại chất lượng dịch vụ (QoS). Để biết thêm thông tin, hãy xem Phân loại trên mạng dựa trên phần QoS ACLs.
Những phần này chứa thông tin khái niệm này:

• ACL được hỗ trợ.
• Xử lý lưu lượng phân mảnh và không phân mảnh.
• ACL và Switch Stacks.

ACL được hỗ trợ

• Cổng ACL lưu lượng kiểm soát truy cập vào interface Lớp 2. Switch không hỗ trợ ACL cổng theo hướng ra ngoài. Bạn chỉ có thể áp dụng một danh sách truy cập IP và một danh sách truy cập MAC cho interface Lớp 2. Để biết thêm thông tin, hãy xem phần ACLs Cổng của Cổng.
• Bộ định tuyến ACL lưu lượng truy cập được điều khiển truy cập giữa các Vlan và được áp dụng cho các interface Lớp 3 theo một hướng cụ thể (trong hoặc ngoài nước). Để biết thêm thông tin, hãy xem phần Bộ định tuyến ACLs của Bộ định tuyến.

Lưu ý: ACL Bộ định tuyến chỉ được hỗ trợ trên các SVI.

Bạn có thể sử dụng ACL cổng đầu vào và ACL bộ định tuyến trên cùng một switch. Tuy nhiên, một cổng ACL được ưu tiên hơn ACL của bộ định tuyến.

• Khi bộ định tuyến ACL và cổng đầu vào ACL tồn tại trong interface ảo chuyển đổi (SVI), các gói đến nhận được trên các cổng mà ACL cổng được áp dụng sẽ được lọc bởi cổng ACL. Các gói IP định tuyến đến nhận được trên các cổng khác được lọc bởi bộ định tuyến ACL. Các gói khác không được lọc.
• Khi ACL bộ định tuyến đầu ra và ACL cổng đầu vào tồn tại trong một SVI, các gói đến nhận được trên các cổng mà ACL cổng được áp dụng sẽ được lọc bởi cổng ACL. Các gói IP định tuyến đi được lọc bởi bộ định tuyến ACL. Các gói khác không được lọc.

Cổng ACL

Cổng ACL là ACL được áp dụng cho interface Lớp 2 trên một switch. Cổng ACL chỉ được hỗ trợ trên các interface vật lý chứ không phải trên interface EtherChannel và chỉ có thể được áp dụng trên các interface theo hướng đi. Các danh sách truy cập này được hỗ trợ:

• Danh sách truy cập IP tiêu chuẩn sử dụng địa chỉ nguồn.
• Danh sách truy cập IP mở rộng sử dụng địa chỉ nguồn và đích và thông tin loại giao thức tùy chọn.
• MAC danh sách truy cập mở rộng sử dụng địa chỉ MAC nguồn và đích và thông tin loại giao thức tùy chọn.

Lưu ý: MAC ACL chỉ được hỗ trợ khi switch đang chạy hình ảnh cơ sở LAN.

Switch kiểm tra các ACL được liên kết với tất cả các tính năng gửi đến được định cấu hình trên một interface nhất định và cho phép hoặc từ chối chuyển tiếp gói dựa trên cách gói phù hợp với các mục trong ACL. Theo cách này, ACL kiểm soát quyền truy cập vào mạng hoặc một phần của mạng. Hình 1-1 là một ví dụ về việc sử dụng ACL cổng để kiểm soát truy cập vào mạng khi tất cả các máy trạm nằm trong cùng một Vlan. Các ACL được áp dụng ở đầu vào Lớp 2 sẽ cho phép host A truy cập vào mạng Nhân sự, nhưng ngăn Máy chủ B truy cập vào cùng một mạng. Cổng ACL chỉ có thể được áp dụng cho interface Lớp 2 theo hướng vào.


Khi bạn áp dụng cổng ACL cho cổng trunk, ACL sẽ lọc lưu lượng trên tất cả các Vlan có trên cổng trunk. Khi bạn áp dụng ACL cổng cho một cổng có Vlan thoại, ACL sẽ lọc lưu lượng trên cả Vlan dữ liệu và thoại.

Với ACL cổng, bạn có thể lọc lưu lượng IP bằng cách sử dụng danh sách truy cập IP và lưu lượng không phải IP bằng cách sử dụng địa chỉ MAC. Bạn có thể lọc cả lưu lượng IP và không IP trên cùng một interface Lớp 2 bằng cách áp dụng cả danh sách truy cập IP và danh sách truy cập MAC cho giao diện.

Lưu ý Bạn không thể áp dụng nhiều danh sách truy cập IP và một danh sách truy cập MAC cho interface Lớp 2. Nếu danh sách truy cập IP hoặc danh sách truy cập MAC đã được định cấu hình trên interface Lớp 2 và bạn áp dụng danh sách truy cập IP mới hoặc danh sách truy cập MAC vào giao diện, ACL mới sẽ thay thế interface được cấu hình trước đó.

Bộ định tuyến ACL

Bạn có thể áp dụng ACL bộ định tuyến trên các interface ảo chuyển đổi (SVIs), là interface lớp 3 cho Vlan. Bạn áp dụng ACL bộ định tuyến trên các interface cho các hướng cụ thể (trong hoặc ngoài outbound). Bạn có thể áp dụng một bộ định tuyến ACL theo từng hướng trên một interface.

Một ACL có thể được sử dụng với nhiều tính năng cho một interface nhất định và một tính năng có thể sử dụng nhiều ACL. Khi một bộ định tuyến ACL được sử dụng bởi nhiều tính năng, nó được kiểm tra nhiều lần.

Danh sách truy cập được hỗ trợ cho lưu lượng IPv4:

• Danh sách truy cập IP tiêu chuẩn sử dụng địa chỉ nguồn cho các hoạt động phù hợp.
• Danh sách truy cập IP mở rộng sử dụng địa chỉ nguồn và đích và thông tin giao thức tùy chọn cho các hoạt động khớp.

Cũng như các ACL cổng, switch kiểm tra các ACL được liên kết với các tính năng được định cấu hình trên một interface nhất định. Tuy nhiên, bạn chỉ có thể áp dụng ACL cổng vào, trong khi ACL của bộ định tuyến được hỗ trợ theo cả hai hướng. Khi các gói vào switch trên một interface, các ACL được liên kết với tất cả các tính năng gửi đến được định cấu hình trên interface đó sẽ được kiểm tra. Sau khi các gói được định tuyến và trước khi chúng được chuyển tiếp tới bước nhảy tiếp theo, tất cả các ACL được liên kết với các tính năng bên ngoài được định cấu hình trên interface đầu ra đều được kiểm tra.

ACL cho phép hoặc từ chối chuyển tiếp gói dựa trên cách gói phù hợp với các mục trong ACL và có thể được sử dụng để kiểm soát truy cập vào mạng hoặc một phần của mạng. Trong Hình 1-1, ACL được áp dụng ở đầu vào bộ định tuyến cho phép Máy chủ A truy cập vào mạng Nhân sự nhưng ngăn Máy chủ B truy cập vào cùng một mạng.

Xử lý lưu lượng phân mảnh và không phân mảnh

Các gói IP có thể bị phân mảnh khi chúng băng qua mạng. Khi điều này xảy ra, chỉ có đoạn chứa phần đầu của gói chứa thông tin Lớp 4, chẳng hạn như số cổng TCP hoặc UDP, loại và mã ICMP, v.v. Tất cả các mảnh khác đều thiếu thông tin này.

Một số ACE không kiểm tra thông tin Lớp 4 và do đó có thể được áp dụng cho tất cả các mảnh gói. Các ACE thực hiện kiểm tra thông tin Lớp 4 không thể được áp dụng theo cách tiêu chuẩn cho hầu hết các đoạn trong gói IP bị phân mảnh. Khi đoạn không chứa thông tin Lớp 4 và ACE kiểm tra một số thông tin Lớp 4, các quy tắc khớp được sửa đổi:

• Cho phép các ACE kiểm tra thông tin Lớp 3 trong đoạn (bao gồm cả loại giao thức, chẳng hạn như TCP, UDP, v.v.) được coi là khớp với đoạn bất kể thông tin Lớp 4 bị thiếu là gì.
• Từ chối các ACE kiểm tra thông tin Lớp 4 không bao giờ khớp với một đoạn trừ khi đoạn đó chứa thông tin Lớp 4.

Xem xét danh sách truy cập 102, được cấu hình với các lệnh này, được áp dụng cho ba gói phân mảnh:

Switch(config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp
Switch(config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet
Switch(config)# access-list 102 permit tcp any host 10.1.1.2
Switch(config)# access-list 102 deny tcp any any
Lưu ý: Trong các ví dụ thứ nhất và thứ hai trong các ví dụ, từ khóa eq sau địa chỉ đích có nghĩa là kiểm tra các số nổi tiếng của cổng đích TCP tương đương với Giao thức chuyển thư đơn giản (SMTP) và Telnet, tương ứng.

• Gói A là gói TCP từ máy chủ 10.2.2.2., Cổng 65000, sẽ đến máy chủ 10.1.1.1 trên cổng SMTP. Nếu gói này bị phân mảnh, đoạn đầu tiên khớp với ACE đầu tiên (giấy phép) như thể nó là một gói hoàn chỉnh vì tất cả thông tin của Lớp 4 đều có. Các đoạn còn lại cũng khớp với ACE đầu tiên, mặc dù chúng không chứa thông tin cổng SMTP, vì ACE đầu tiên chỉ kiểm tra thông tin Lớp 3 khi áp dụng cho các đoạn. Thông tin trong ví dụ này là gói là TCP và đích là 10.1.1.1.
• Gói B là từ máy chủ 10.2.2.2, cổng 65001, sẽ đến máy chủ 10.1.1.2 trên cổng Telnet. Nếu gói này bị phân mảnh, đoạn đầu tiên khớp với ACE thứ hai (từ chối) vì tất cả thông tin của Lớp 3 và Lớp 4 đều có. Các mảnh còn lại trong gói không khớp với ACE thứ hai vì chúng thiếu thông tin Lớp 4. Thay vào đó, chúng phù hợp với ACE thứ ba (giấy phép).

Do đoạn đầu tiên bị từ chối, máy chủ 10.1.1.2 không thể lắp lại một gói hoàn chỉnh, vì vậy gói B bị từ chối một cách hiệu quả. Tuy nhiên, các đoạn sau được phép sẽ tiêu tốn băng thông trên mạng và tài nguyên của máy chủ 10.1.1.2 khi nó cố gắng lắp lại gói.

• Gói C bị phân mảnh là từ máy chủ 10.2.2.2, cổng 65001, đến máy chủ 10.1.1.3, cổng ftp. Nếu gói này bị phân mảnh, đoạn đầu tiên khớp với ACE thứ tư (một từ chối). Tất cả các phân đoạn khác cũng khớp với ACE thứ tư vì ACE không kiểm tra bất kỳ thông tin nào của Lớp 4 và vì thông tin Lớp 3 trong tất cả các phân đoạn cho thấy rằng chúng đang được gửi đến máy chủ 10.1.1.3 và các giấy phép trước đó đã kiểm tra các host khác nhau.

ACL và Switch Stack

Lưu ý Xếp chồng chỉ được hỗ trợ trên các switch Catalyst 2960-S chạy hình ảnh cơ sở LAN.

Hỗ trợ ACL tương tự đối với ngăn xếp switch như đối với switch độc lập. Thông tin cấu hình ACL được truyền tới tất cả các Switch Stack. Tất cả các Switch Stack, bao gồm chủ ngăn xếp, xử lý thông tin và lập trình phần cứng của chúng. (Để biết thông tin về ngăn xếp switch, hãy xem Chương 1, Cấu hình của Bộ chuyển đổi ngăn xếp).

Master Switch Stack thực hiện các chức năng ACL này:

• Nó xử lý cấu hình ACL và truyền thông tin đến tất cả các thành viên ngăn xếp.
• Nó phân phối thông tin ACL cho bất kỳ Switch nào tham gia ngăn xếp.
• Nếu các gói phải được chuyển tiếp bằng phần mềm vì bất kỳ lý do gì (ví dụ: không đủ tài nguyên phần cứng), thì switch chính chỉ chuyển tiếp các gói sau khi áp dụng ACL trên các gói.
• Nó lập trình phần cứng với thông tin ACL mà nó xử lý.

Các thành viên ngăn xếp thực hiện các chức năng ACL này:

• Họ nhận được thông tin ACL từ tổng đài chính và lập trình phần cứng của họ.
• Chúng hoạt động như các Switch dự phòng, sẵn sàng đảm nhận vai trò của chủ ngăn xếp nếu chủ hiện có bị lỗi và chúng được bầu làm chủ ngăn xếp mới.

Khi một chủ ngăn xếp thất bại và một chủ ngăn xếp mới được bầu, chủ mới được bầu sẽ sửa lại cấu hình đang chạy được sao lưu. (Xem Chương 1, Định cấu hình chuyển đổi Stack Stack) Cấu hình ACL là một phần của cấu hình đang chạy cũng được sửa lại trong bước này. Chủ ngăn xếp mới phân phối thông tin ACL cho tất cả các switch trong ngăn xếp.

Cấu hình ACL IPv4

Lưu ý Nếu Switch đang chạy hình ảnh LAN Lite, bạn có thể định cấu hình ACL, nhưng bạn không thể gắn chúng vào interface vật lý. Khi chạy hình ảnh cơ sở LAN Lite hoặc LAN, bạn có thể đính kèm ACL vào interface Vlan để lọc lưu lượng truy cập vào CPU.

Định cấu hình IP v4ACL trên thiết bị chuyển mạch cũng giống như định cấu hình ACL IPv4 trên các thiết bị chuyển mạch và bộ định tuyến khác của Cisco. Quá trình này được mô tả ngắn gọn ở đây. Để biết thêm thông tin chi tiết về cách định cấu hình ACL, hãy xem phần Cấu hình dịch vụ IP của Chế độ IP trong Chương trình Địa chỉ IP và Dịch vụ IP của Hướng dẫn cấu hình IP của Cisco IOS, Phiên bản 12.2. Để biết thông tin chi tiết về các lệnh, hãy xem Tham khảo lệnh của Cisco IOS IP, Tập 1 của 3: Địa chỉ và dịch vụ, Phiên bản 12.2. Tài liệu Cisco IOS có sẵn từ trang   Đăng nhập để xem liên kết trong Tài liệu> Phần mềm Cisco IOS> 12.2 Dòng chính> Hướng dẫn cấu hình hoặc Tài liệu tham khảo lệnh.

Switch không hỗ trợ các tính năng liên quan đến ACL của bộ định tuyến Cisco IOS này:

• ACL giao thức không IP (xem Bảng 1-1) hoặc ACL nhóm cầu
• IP Accounting
• Giới hạn tốc độ trong và ngoài nước (ngoại trừ với QoS ACL)
• ACL phản xạ hoặc ACL động (ngoại trừ một số ACL động chuyên dụng được sử dụng bởi tính năng phân cụm chuyển đổi)
• Ghi nhật ký ACL

Đây là các bước để sử dụng IP ACL trên Switch:

Bước 1 Tạo ACL bằng cách chỉ định số hoặc tên danh sách truy cập và các điều kiện truy cập.

Bước 2 Áp dụng ACL cho các interface hoặc dòng thiết bị đầu cuối.

Các phần này chứa thông tin cấu hình này:

• Tạo ACL IPv4 chuẩn và mở rộng
• Áp dụng ACL IPv4 cho Thiết bị đầu cuối
• Áp dụng ACL IPv4 cho interface
• Xử lý phần cứng và phần mềm của ACL IP
• Xử lý sự cố ACL
• Ví dụ cấu hình AC4 IPv4

Tạo ACL IPv4 chuẩn và mở rộng

Phần này mô tả IP ACL. Một ACL là một tập hợp tuần tự các điều kiện giấy phép và từ chối. Từng người một, switch kiểm tra các gói theo các điều kiện trong danh sách truy cập. Trận đấu đầu tiên xác định xem switch có chấp nhận hoặc từ chối gói không. Bởi vì switch dừng kiểm tra sau trận đấu đầu tiên, thứ tự của các điều kiện là rất quan trọng. Nếu không có điều kiện phù hợp, switch từ chối gói.

Phần mềm hỗ trợ các loại ACL hoặc danh sách truy cập cho IPv4:

• Danh sách truy cập IP tiêu chuẩn sử dụng địa chỉ nguồn cho các hoạt động phù hợp.
• Danh sách truy cập IP mở rộng sử dụng địa chỉ nguồn và đích cho các hoạt động khớp và thông tin loại giao thức tùy chọn để kiểm soát mức độ chi tiết tốt hơn.

Các phần này mô tả danh sách truy cập và cách tạo chúng:

• Số danh sách truy cập
• Tạo một ACL tiêu chuẩn được đánh số
• Tạo ACL mở rộng được đánh số
• Sắp xếp lại các ACE trong một ACL
• Tạo ACL tiêu chuẩn và mở rộng
• Sử dụng phạm vi thời gian với ACL
• Bao gồm các nhận xét trong ACL

Số danh sách truy cập

Số bạn sử dụng để biểu thị ACL của bạn hiển thị loại danh sách truy cập mà bạn đang tạo. Bảng 1-1 liệt kê số danh sách truy cập và loại danh sách truy cập tương ứng và cho biết liệu chúng có được hỗ trợ trong chuyển đổi hay không. Switch hỗ trợ tiêu chuẩn truy cập mở rộng và tiêu chuẩn IPv4, các số từ 1 đến 199 và 1300 đến 2699.

Bảng 1-1 Số danh sách truy cập


Lưu ý Ngoài các ACL tiêu chuẩn và mở rộng được đánh số, bạn cũng có thể tạo các ACL IP được đặt tên tiêu chuẩn và mở rộng bằng cách sử dụng các số được hỗ trợ. Đó là, tên của một ACL IP tiêu chuẩn có thể là 1 đến 99; Tên của ACL IP mở rộng có thể là 100 đến 199. Ưu điểm của việc sử dụng ACL có tên thay vì danh sách được đánh số là bạn có thể xóa các mục riêng lẻ khỏi danh sách được đặt tên.

Tạo một ACL tiêu chuẩn được đánh số

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để tạo ACL tiêu chuẩn được đánh số:

Sử dụng lệnh không có cấu hình toàn cầu danh sách truy cập danh sách truy cập để xóa toàn bộ ACL. Bạn không thể xóa từng ACE khỏi danh sách truy cập được đánh số.

Lưu ý Khi tạo ACL, hãy nhớ rằng, theo mặc định, phần cuối của ACL chứa một tuyên bố từ chối ngầm cho tất cả các gói mà nó không tìm thấy sự trùng khớp trước khi kết thúc. Với danh sách truy cập tiêu chuẩn, nếu bạn bỏ qua mặt nạ từ thông số ACL của địa chỉ máy chủ IP được liên kết, thì 0.0.0.0 được coi là mặt nạ.

Ví dụ này cho thấy cách tạo ACL tiêu chuẩn để từ chối quyền truy cập vào máy chủ IP 171,69.198.102, cho phép truy cập vào bất kỳ người nào khác và hiển thị kết quả.

Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any

Switch(config)# end
Switch# show access-lists
Standard IP access list 2
10 deny 171.69.198.102
20 permit any
 
Switch luôn viết lại thứ tự của danh sách truy cập tiêu chuẩn để các mục có khớp với host lưu trữ và các mục có khớp với mặt nạ không quan tâm là 0,0.0.0 được chuyển lên đầu danh sách, trên bất kỳ mục nào có giá trị khác không chăm sóc mặt nạ. Do đó, trong đầu ra lệnh show và trong tệp cấu hình, các ACE không nhất thiết phải xuất hiện theo thứ tự mà chúng được nhập.

Sau khi tạo một IPv4 ACL tiêu chuẩn được đánh số, bạn có thể áp dụng nó cho các dòng thiết bị đầu cuối (xem phần Áp dụng một ứng dụng IPv4 ACL cho phần Terminal Line Line) và cho các interface (xem phần Áp dụng một ứng dụng IPv4 ACL cho phần Giao diện).

Tạo ACL mở rộng được đánh số

Mặc dù ACL tiêu chuẩn chỉ sử dụng địa chỉ nguồn để khớp, nhưng bạn có thể sử dụng địa chỉ nguồn và đích ACL mở rộng cho các hoạt động khớp và thông tin loại giao thức tùy chọn để kiểm soát mức độ chi tiết tốt hơn. Khi bạn đang tạo các ACE trong danh sách truy cập mở rộng được đánh số, hãy nhớ rằng sau khi bạn tạo ACL, mọi bổ sung sẽ được đặt ở cuối danh sách. Bạn không thể sắp xếp lại danh sách hoặc chọn lọc thêm hoặc xóa các ACE khỏi danh sách được đánh số.

Một số giao thức cũng có các tham số và từ khóa cụ thể áp dụng cho giao thức đó.
Các giao thức IP này được hỗ trợ (từ khóa giao thức được in đậm trong ngoặc đơn):

Giao thức tiêu đề xác thực (ahp), Giao thức định tuyến cổng nội bộ nâng cao (eigrp), Tải trọng bảo mật đóng gói (đặc biệt), đóng gói định tuyến chung (gre), Giao thức tin nhắn điều khiển Internet (icmp), Giao thức quản lý nhóm Internet (igmp), bất kỳ Giao thức nội bộ Internet nào (igmp) địa chỉ IP tcp) hoặc Giao thức gói dữ liệu người dùng (udp).

Lưu ý ICMP echo-reply không thể được lọc. Tất cả các mã hoặc loại ICMP khác có thể được lọc.

Để biết thêm chi tiết về các từ khóa cụ thể cho từng giao thức, hãy xem các tham chiếu lệnh sau:

• Tham khảo lệnh IP của Cisco IOS, Tập 1 trên 3: Địa chỉ và dịch vụ, Phiên bản 12.2
• Tham khảo lệnh IP của Cisco IOS, Tập 2 trên 3: Giao thức định tuyến, Phiên bản 12.2
• Tham khảo lệnh của Cisco IOS IP, Tập 3 trên 3: Multicast, Phiên bản 12.2

Các tài liệu này có sẵn từ trang   Đăng nhập để xem liên kết trong Tài liệu> Phần mềm Cisco IOS> 12.2 Dòng chính> Tài liệu tham khảo lệnh.

Lưu ý switch không hỗ trợ danh sách truy cập động hoặc phản xạ. Nó cũng không hỗ trợ lọc dựa trên loại bit dịch vụ (ToS) tối thiểu hóa chi phí tiền tệ.

Các tham số được hỗ trợ có thể được nhóm thành các loại sau: TCP, UDP, ICMP, IGMP hoặc IP khác.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để tạo ACL mở rộng:

Sử dụng lệnh không có cấu hình toàn cầu danh sách truy cập danh sách truy cập để xóa toàn bộ danh sách truy cập. Bạn không thể xóa từng ACE khỏi danh sách truy cập được đánh số.

Ví dụ này cho thấy cách tạo và hiển thị danh sách truy cập mở rộng để từ chối truy cập Telnet từ bất kỳ máy chủ nào trong mạng 171,69.198.0 đến bất kỳ máy chủ nào trong mạng 172.20.52.0 và cho phép mọi người khác. (Từ khóa eq sau địa chỉ đích có nghĩa là kiểm tra số cổng đích TCP bằng Telnet.)

Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet

Switch(config)# access-list 102 permit tcp any any

Switch(config)# end
Switch# show access-lists
Extended IP access list 102
10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
20 permit tcp any any

Sau khi ACL được tạo, mọi bổ sung (có thể được nhập từ thiết bị đầu cuối) sẽ được đặt ở cuối danh sách. Bạn không thể chọn lọc thêm hoặc xóa các mục nhập danh sách truy cập khỏi danh sách truy cập được đánh số.

Lưu ý Khi bạn đang tạo ACL, hãy nhớ rằng, theo mặc định, phần cuối của danh sách truy cập chứa một tuyên bố từ chối ngầm cho tất cả các gói nếu nó không tìm thấy kết quả khớp trước khi kết thúc.

Sau khi tạo ACL mở rộng được đánh số, bạn có thể áp dụng nó cho các dòng thiết bị đầu cuối (xem phần Áp dụng ACL của IPv4 cho phần Terminal Line Line), cho các interface (xem phần Áp dụng ACL của IPv4 cho phần Giao diện).
Sắp xếp lại các ACE trong một ACL

Số thứ tự cho các mục trong danh sách truy cập được tạo tự động khi bạn tạo ACL mới. Bạn có thể sử dụng lệnh cấu hình toàn cầu danh sách truy cập ip để chỉnh sửa số thứ tự trong một ACL và thay đổi thứ tự áp dụng các ACE. Ví dụ: nếu bạn thêm một ACE mới vào ACL, nó sẽ được đặt ở cuối danh sách. Bằng cách thay đổi số thứ tự, bạn có thể di chuyển ACE đến một vị trí khác trong ACL.

Để biết thông tin về lệnh resequence danh sách truy cập ip:

• https://www.cisco.com/en/US/docs/ios/12_2s/feature/guide/fsaclseq.html#wp1027188 (https://www.cisco.com/en/US/docs/ios/12_2s/feature/guide/fsaclseq.html#wp1027188)

Tạo ACL tiêu chuẩn và mở rộng

Bạn có thể xác định các ACL IPv4 bằng một chuỗi ký tự chữ và số (tên) chứ không phải là một số. Bạn có thể sử dụng ACL được đặt tên để định cấu hình nhiều danh sách truy cập IPv4 trong bộ định tuyến hơn nếu bạn sử dụng danh sách truy cập được đánh số. Nếu bạn xác định danh sách truy cập của mình bằng một tên chứ không phải là một số, cú pháp chế độ và lệnh sẽ hơi khác nhau. Tuy nhiên, không phải tất cả các lệnh sử dụng danh sách truy cập IP đều chấp nhận danh sách truy cập được đặt tên.

Lưu ý Tên bạn đặt cho ACL tiêu chuẩn hoặc mở rộng cũng có thể là một số trong phạm vi số danh sách truy cập được hỗ trợ. Đó là, tên của một ACL IP tiêu chuẩn có thể là 1 đến 99; Tên của ACL IP mở rộng có thể là 100 đến 199. Ưu điểm của việc sử dụng ACL có tên thay vì danh sách được đánh số là bạn có thể xóa các mục riêng lẻ khỏi danh sách được đặt tên.

Xem xét các nguyên tắc và giới hạn này trước khi định cấu hình ACL có tên:

• Không phải tất cả các lệnh chấp nhận ACL được đánh số đều chấp nhận ACL có tên. ACL cho bộ lọc gói và bộ lọc tuyến trên interface có thể sử dụng tên.
• Một ACL tiêu chuẩn và một ACL mở rộng không thể có cùng tên.
• Các ACL được đánh số cũng có sẵn, như được mô tả trong phần Tạo ra ACLs chuẩn IPv4 và Mở rộng.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để tạo ACL tiêu chuẩn bằng tên:

Để loại bỏ một ACL mở rộng có tên, sử dụng lệnh cấu hình toàn cầu tên mở rộng danh sách truy cập ip.

Khi bạn đang tạo ACL mở rộng tiêu chuẩn, hãy nhớ rằng, theo mặc định, phần cuối của ACL chứa một tuyên bố từ chối ngầm cho mọi thứ nếu nó không tìm thấy kết quả khớp trước khi kết thúc. Đối với ACL tiêu chuẩn, nếu bạn bỏ qua mặt nạ từ thông số kỹ thuật danh sách truy cập địa chỉ máy chủ IP được liên kết, thì 0.0.0.0 được coi là mặt nạ.

Sau khi bạn tạo ACL, mọi bổ sung sẽ được đặt ở cuối danh sách. Bạn không thể chọn lọc thêm các mục ACL vào một ACL cụ thể. Tuy nhiên, bạn có thể sử dụng không có giấy phép và không từ chối các lệnh chế độ cấu hình danh sách truy cập để xóa các mục khỏi ACL có tên. Ví dụ này cho thấy cách bạn có thể xóa từng ACE khỏi danh sách đường viền danh sách truy cập được đặt tên:

Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
Có thể loại bỏ có chọn lọc các dòng khỏi ACL có tên là một lý do bạn có thể sử dụng ACL có tên thay vì ACL được đánh số.

Sau khi tạo một ACL có tên, bạn có thể áp dụng nó cho các interface (xem phần Áp dụng một ứng dụng ACL IPv4 cho một phần Giao diện).

Sử dụng phạm vi thời gian với ACL

Bạn có thể áp dụng có chọn lọc các ACL mở rộng dựa trên thời gian trong ngày và trong tuần bằng cách sử dụng lệnh cấu hình toàn cầu trong phạm vi thời gian. Đầu tiên, xác định tên phạm vi thời gian và đặt thời gian và ngày hoặc các ngày trong tuần trong phạm vi thời gian. Sau đó nhập tên phạm vi thời gian khi áp dụng ACL để đặt các hạn chế cho danh sách truy cập. Bạn có thể sử dụng phạm vi thời gian để xác định thời điểm giấy phép hoặc từ chối tuyên bố trong ACL có hiệu lực, ví dụ, trong một khoảng thời gian được chỉ định hoặc vào các ngày được chỉ định trong tuần. Từ khóa và đối số trong phạm vi thời gian được tham chiếu trong các bảng tác vụ ACL mở rộng có tên và được đánh số trong các phần trước, phần ACLs Tiêu chuẩn và Mở rộng IPv4 ACLs, và phần Tạo các tên ACLs Tiêu chuẩn và Mở rộng.

Danh sách truy cập dựa trên thời gian kích hoạt hoạt động của CPU vì cấu hình mới của danh sách truy cập phải được hợp nhất với các tính năng khác và cấu hình kết hợp được tải vào TCAM. Vì lý do này, bạn nên cẩn thận để không có một vài danh sách truy cập được cấu hình để ảnh hưởng liên tiếp (trong một vài phút với nhau.)

Lưu ý Phạm vi thời gian phụ thuộc vào đồng hồ hệ thống chuyển đổi; do đó, bạn cần một nguồn đồng hồ đáng tin cậy. Chúng tôi khuyên bạn nên sử dụng Giao thức thời gian mạng (NTP) để đồng bộ hóa đồng hồ chuyển đổi. Để biết thêm thông tin, hãy xem phần Quản lý thời gian hệ thống và ngày tháng.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để định cấu hình tham số phạm vi thời gian cho ACL:

Lặp lại các bước nếu bạn có nhiều mục mà bạn muốn có hiệu lực vào các thời điểm khác nhau.

Để loại bỏ giới hạn phạm vi thời gian được định cấu hình, hãy sử dụng lệnh không có cấu hình toàn cầu tên phạm vi thời gian phạm vi thời gian.

Ví dụ này cho thấy cách định cấu hình phạm vi thời gian cho giờ làm việc và định cấu hình ngày 1 tháng 1 năm 2006, như một kỳ nghỉ của công ty và để xác minh cấu hình của bạn.

Switch(config)# time-range workhours
Switch(config-time-range)# periodic weekdays 8:00 to 12:00
Switch(config-time-range)# periodic weekdays 13:00 to 17:00
Switch(config-time-range)# exit
Switch(config)# time-range new_year_day_2006
Switch(config-time-range)# absolute start 00:00 1 Jan 2006 end 23:59 1 Jan 2006
Switch(config-time-range)# end
Switch# show time-range
time-range entry: new_year_day_2003 (inactive)
absolute start 00:00 01 January 2006 end 23:59 01 January 2006
time-range entry: workhours (inactive)
periodic weekdays 8:00 to 12:00
periodic weekdays 13:00 to 17:00
Để áp dụng phạm vi thời gian, hãy nhập tên phạm vi thời gian trong ACL mở rộng có thể triển khai phạm vi thời gian.

Ví dụ này cho thấy cách tạo và xác minh danh sách truy cập mở rộng 188 từ chối lưu lượng TCP từ bất kỳ nguồn nào đến bất kỳ đích nào trong thời gian nghỉ được xác định và cho phép tất cả lưu lượng TCP trong giờ làm việc.

Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2006
Switch(config)# access-list 188 permit tcp any any time-range workhours
Switch(config)# end
Switch# show access-lists
Extended IP access list 188
10 deny tcp any any time-range new_year_day_2006 (inactive)
20 permit tcp any any time-range workhours (inactive)
Ví dụ này sử dụng ACL có tên để cho phép và từ chối cùng một lưu lượng.

Switch(config)# ip access-list extended deny_access
Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2006
Switch(config-ext-nacl)# exit
Switch(config)# ip access-list extended may_access
Switch(config-ext-nacl)# permit tcp any any time-range workhours
Switch(config-ext-nacl)# end
Switch# show ip access-lists
Extended IP access list lpip_default
10 permit ip any any
Extended IP access list deny_access
10 deny tcp any any time-range new_year_day_2006 (inactive)
Extended IP access list may_access
10 permit tcp any any time-range workhours (inactive)
Bao gồm các nhận xét trong ACL

Bạn có thể sử dụng từ khóa nhận xét để bao gồm nhận xét (nhận xét) về các mục trong bất kỳ tiêu chuẩn IP hoặc ACL mở rộng. Các nhận xét làm cho ACL dễ hiểu hơn và quét. Mỗi dòng chú thích được giới hạn trong 100 ký tự.

Nhận xét có thể đi trước hoặc sau khi giấy phép hoặc tuyên bố từ chối. Bạn nên nhất quán về nơi bạn đặt nhận xét để rõ ràng nhận xét nào mô tả giấy phép nào hoặc từ chối tuyên bố. Ví dụ, sẽ khó hiểu khi có một số nhận xét trước giấy phép liên quan hoặc từ chối tuyên bố và một số nhận xét sau các tuyên bố liên quan.

Để bao gồm một nhận xét cho các ACL tiêu chuẩn hoặc số mở rộng được đánh số IP, hãy sử dụng lệnh cấu hình toàn cầu nhận xét danh sách truy cập danh sách truy cập danh sách truy cập. Để loại bỏ nhận xét, sử dụng dạng không có của lệnh này.

Trong ví dụ này, máy trạm thuộc về Jones được phép truy cập và máy trạm thuộc về Smith không được phép truy cập:

Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith through
Switch(config)# access-list 1 deny 171.69.3.13
Đối với một mục trong IP ACL có tên, sử dụng lệnh cấu hình danh sách truy cập đáng chú ý. Để loại bỏ nhận xét, sử dụng dạng không có của lệnh này.

Trong ví dụ này, mạng con Jones không được phép sử dụng Telnet bên ngoài:

Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet
Áp dụng ACL IPv4 cho Thiết bị đầu cuối

Bạn có thể sử dụng ACL được đánh số để kiểm soát quyền truy cập vào một hoặc nhiều dòng thiết bị đầu cuối. Bạn không thể áp dụng ACL được đặt tên cho các dòng. Bạn phải đặt các hạn chế giống hệt nhau trên tất cả các dòng thiết bị đầu cuối ảo vì người dùng có thể cố gắng kết nối với bất kỳ dòng nào trong số chúng.

Để biết quy trình áp dụng ACL cho các giao diện, hãy xem phần Áp dụng ACL của IPv4 vào phần Giao diện.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để hạn chế các kết nối đến và đi giữa một dòng thiết bị đầu cuối ảo và các địa chỉ trong ACL:

Để xóa ACL khỏi dòng thiết bị đầu cuối, hãy sử dụng số danh sách truy cập không có lớp truy cập {in | ra} lệnh cấu hình dòng.
Áp dụng ACL IPv4 cho interface

Lưu ý các hướng dẫn sau:

• Chỉ áp dụng ACL cho các cổng Lớp 2 trong nước.
• Áp dụng ACL cho các interface  Vlan trong hoặc ngoài nước để lọc các gói dành cho CPU, chẳng hạn như SNMP, Telnet hoặc lưu lượng truy cập web.

Các ACL IPv4 được áp dụng cho các interface Vlan cung cấp bảo mật quản lý chuyển đổi bằng cách giới hạn quyền truy cập vào một máy chủ cụ thể trong mạng hoặc vào các ứng dụng cụ thể (SNMP, Telnet, SSH, v.v.). Các ACL được gắn vào interface Vlan không ảnh hưởng đến việc chuyển đổi phần cứng của các gói trên Vlan.

Lưu ý: Trên các switch chạy hình ảnh LAN Lite, bạn chỉ có thể áp dụng ACL cho interface Vlan chứ không áp dụng cho interface vật lý.

• Áp dụng ACL cho các SVI lớp 3 bên ngoài hoặc bên trong.
• Khi kiểm soát quyền truy cập vào giao diện, bạn có thể sử dụng ACL được đặt tên hoặc đánh số.
• Nếu bạn áp dụng ACL cho một cổng là thành viên của Vlan, thì ACL cổng được ưu tiên hơn một ACL được áp dụng cho interface Vlan.
• Nếu bạn áp dụng ACL cho interface Lớp 2 là thành viên của Vlan, thì ACL Lớp 2 (cổng) được ưu tiên so với ACL Lớp 3 đầu vào được áp dụng cho interface Vlan. Cổng ACL luôn lọc các gói đến nhận được trên cổng Lớp 2.
• Nếu bạn áp dụng ACL cho interface Lớp 3 và định tuyến không được bật, ACL chỉ lọc các gói dành cho CPU, chẳng hạn như SNMP, Telnet hoặc lưu lượng truy cập web. Bạn không phải kích hoạt định tuyến để áp dụng ACL cho interface Lớp 2.
• Khi bạn định cấu hình ACL đi ra để cho phép lưu lượng truy cập với một giá trị DSCP cụ thể, bạn phải sử dụng giá trị DSCP ban đầu thay vì giá trị viết lại.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để kiểm soát quyền truy cập vào giao diện:

Để xóa nhóm truy cập đã chỉ định, hãy sử dụng nhóm truy cập ip {access-list-number | tên} {trong | ra} lệnh cấu hình giao diện.

Ví dụ này cho thấy cách áp dụng danh sách truy cập 2 vào một cổng để lọc các gói vào cổng:

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 2 in
Ví dụ này cho thấy cách áp dụng danh sách truy cập 3 để lọc các gói đi tới CPU:

Switch(config)# interface vlan 1
Switch(config-if)# ip access-group 3 in
Lưu ý Khi bạn áp dụng lệnh cấu hình interface nhóm truy cập ip cho SVI lớp 3, interface phải có địa chỉ IP. Các nhóm truy cập lớp 3 lọc các gói được định tuyến hoặc được nhận bởi các quy trình của Lớp 3 trên CPU.

Đối với ACL gửi đến, sau khi nhận được gói, switch sẽ kiểm tra gói dựa vào ACL. Nếu ACL cho phép gói, switch tiếp tục xử lý gói. Nếu ACL từ chối gói, switch sẽ loại bỏ gói.

Đối với các ACL bên ngoài, sau khi nhận và gửi gói đến interface được kiểm soát, switch sẽ kiểm tra gói dựa vào ACL. Nếu ACL cho phép gói, switch sẽ gửi gói. Nếu ACL từ chối gói, switch sẽ loại bỏ gói.

Khi bạn áp dụng ACL không xác định cho giao diện, switch hoạt động như thể ACL chưa được áp dụng cho interface và cho phép tất cả các gói. Hãy nhớ hành vi này nếu bạn sử dụng ACL không xác định để bảo mật mạng.

Xử lý phần cứng và phần mềm của ACL IP

Việc xử lý ACL chủ yếu được thực hiện trong phần cứng, nhưng yêu cầu chuyển tiếp một số luồng lưu lượng đến CPU để xử lý phần mềm. Nếu phần cứng đạt đến khả năng lưu trữ cấu hình ACL, các gói được gửi đến CPU để chuyển tiếp. Tốc độ chuyển tiếp cho lưu lượng chuyển tiếp phần mềm ít hơn đáng kể so với lưu lượng chuyển tiếp phần cứng.

Nếu ACL khiến số lượng lớn các gói được gửi đến CPU, hiệu suất chuyển đổi có thể bị ảnh hưởng tiêu cực.

Khi bạn nhập lệnh EXEC đặc quyền danh sách truy cập ip, số lượng đối sánh được hiển thị không tính đến các gói được kiểm soát truy cập trong phần cứng. Sử dụng lệnh EXEC truy cập danh sách phần cứng truy cập danh sách truy cập để có được một số thống kê ACL phần cứng cơ bản cho các gói chuyển đổi.

Xử lý sự cố ACL

Nếu thông báo trình quản lý ACL này xuất hiện và [ký tự] là tên danh sách truy cập,

ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars]
 
Switch không đủ tài nguyên để tạo đại diện phần cứng cho ACL. Các tài nguyên bao gồm bộ nhớ phần cứng và không gian nhãn nhưng không phải bộ nhớ CPU. Việc thiếu các đơn vị hoạt động logic có sẵn hoặc tài nguyên phần cứng chuyên dụng gây ra vấn đề này. Các đơn vị vận hành logic là cần thiết cho một trận đấu cờ TCP hoặc một bài kiểm tra khác ngoài eq (ne, gt, lt hoặc phạm vi) trên các số cổng TCP, UDP hoặc SCTP.

Sử dụng một trong những cách giải quyết sau:

• Sửa đổi cấu hình ACL để sử dụng ít tài nguyên hơn.
• Đổi tên ACL bằng tên hoặc số có chữ số đứng trước tên hoặc số ACL.

Để xác định tài nguyên phần cứng chuyên dụng, hãy nhập lệnh EXEC đặc quyền bản đồ lớp 4 acl bản đồ. Nếu switch không có tài nguyên khả dụng, đầu ra cho thấy chỉ số 0 đến chỉ mục 15 không khả dụng.

Để biết thêm thông tin về cách định cấu hình ACL không đủ tài nguyên, hãy xem CSCsq63926 trong Bộ công cụ Bug.

Ví dụ: nếu bạn áp dụng ACL này cho giao diện:

permit tcp source source-wildcard destination destination-wildcard range 5 60
permit tcp source source-wildcard destination destination-wildcard range 15 160
permit tcp source source-wildcard destination destination-wildcard range 115 1660
permit tcp source source-wildcard destination destination-wildcard
Và nếu thông báo này xuất hiện:

ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars]
Các toán tử liên quan đến cờ không có sẵn. Để tránh vấn đề này,

• Di chuyển ACE thứ tư trước ACE đầu tiên bằng cách sử dụng lệnh cấu hình toàn cầu truy cập danh sách truy cập ip:

permit tcp source source-wildcard destination destination-wildcard
permit tcp source source-wildcard destination destination-wildcard range 5 60
permit tcp source source-wildcard destination destination-wildcard range 15 160
permit tcp source source-wildcard destination destination-wildcard range 115 1660
Hoặc là
Đổi tên ACL bằng tên hoặc số có chữ số trước các ACL khác (ví dụ: đổi tên ACL 79 thành ACL 1).

Bây giờ bạn có thể áp dụng ACE đầu tiên trong ACL cho giao diện. Switch phân bổ ACE cho các bit ánh xạ có sẵn trong chỉ mục Opselect và sau đó phân bổ các toán tử liên quan đến cờ để sử dụng cùng các bit trong TCAM.
Ví dụ cấu hình AC4 IPv4

Phần này cung cấp các ví dụ về cấu hình và áp dụng AC4 ACL. Để biết thông tin chi tiết về việc biên dịch ACL, hãy xem Hướng dẫn cấu hình bảo mật của Cisco IOS, Phiên bản 12.2 và đến phần Định cấu hình dịch vụ IP trong Chương trình địa chỉ IP và dịch vụ IP của Hướng dẫn cấu hình IP của Cisco IOS, Phiên bản 12.2.

Ví dụ này sử dụng ACL tiêu chuẩn để cho phép truy cập cổng vào một máy chủ Internet cụ thể có địa chỉ 172.20.128.64.

Switch(config)# access-list 6 permit 172.20.128.64 0.0.0
Switch(config)# end
Switch# show access-lists
Standard IP access list 6
10 permit 172.20.128.64 wildcard bits 0.0.0.0
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 6 in
Ví dụ này sử dụng ACL mở rộng để từ chối lưu lượng truy cập cổng đến từ cổng 80 (https). Nó cho phép tất cả các loại lưu lượng khác.

Switch(config)# access-list 106 deny tcp any any eq 80
Switch(config)# access-list 106 permit ip any any
Switch(config)# end
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 106 in
ACL được đánh số

ACL này chấp nhận địa chỉ trên mạng con 36.0.0.0 và từ chối tất cả các gói đến từ mạng con 56.0.0.0. ACL được áp dụng cho các gói vào cổng.

Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255
Switch(config)# access-list 2 deny 56.0.0.0 0.255.255.255
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 2 in
ACL mở rộng

Trong ví dụ này, giả sử rằng bạn có một mạng được kết nối với Internet và bạn muốn bất kỳ máy chủ nào trên mạng có thể tạo kết nối TCP tới bất kỳ máy chủ nào trên Internet. Tuy nhiên, bạn không muốn các máy chủ IP có thể hình thành các kết nối TCP đến các máy chủ trên mạng của bạn, ngoại trừ cổng thư (SMTP) của máy chủ thư chuyên dụng.

SMTP sử dụng cổng TCP 25 ở một đầu của kết nối và số cổng ngẫu nhiên ở đầu kia. Các số cổng tương tự được sử dụng trong suốt vòng đời của kết nối. Các gói thư đến từ Internet có cổng đích là 25. Vì hệ thống bảo mật của mạng luôn chấp nhận kết nối thư trên cổng 25, các dịch vụ đến được kiểm soát.

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 23
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 25
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 102 in
ACL được đặt tên

Ví dụ này tạo ra một ACL mở rộng có tên là marketing_group. Marketing_group ACL cho phép mọi lưu lượng TCP Telnet đến địa chỉ đích và ký tự đại diện 171,69.0.0 0,0.255.255 và từ chối mọi lưu lượng TCP khác. Nó cho phép bất kỳ lưu lượng IP khác.

Switch(config)# ip access-list extended marketing_group
Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Marketing_group ACL được áp dụng cho lưu lượng đến trên một cổng.

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip access-group marketing_group in
Phạm vi thời gian áp dụng cho IP ACL

Ví dụ này từ chối lưu lượng https trên IP vào thứ Hai đến thứ Sáu trong khoảng thời gian từ 8:00 sáng đến 6:00 tối (18:00). Ví dụ này chỉ cho phép lưu lượng truy cập UDP vào Thứ Bảy và Chủ Nhật từ trưa đến 8:00 tối. (20:00).

Switch(config)# time-range no-https
Switch(config)# periodic weekdays 8:00 to 18:00
!
Switch(config)# time-range udp-yes
Switch(config)# periodic weekend 12:00 to 20:00
!
Switch(config)# ip access-list extended strict
Switch(config-ext-nacl)# deny tcp any any eq www time-range no-https
Switch(config-ext-nacl)# permit udp any any time-range udp-yes
!
Switch(config-ext-nacl)# exit
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip access-group strict in
Nhận xét IP ACL mục

Trong ví dụ về ACL được đánh số này, máy trạm thuộc về Jones được phép truy cập và máy trạm thuộc Smith không được phép truy cập:

Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
Trong ví dụ về ACL được đánh số này, các máy trạm Winter và Smith không được phép duyệt web:

Switch(config)# access-list 100 remark Do not allow Winter to browse the web
Switch(config)# access-list 100 deny host 171.69.3.85 any eq www
Switch(config)# access-list 100 remark Do not allow Smith to browse the web
Switch(config)# access-list 100 deny host 171.69.3.13 any eq www
Trong ví dụ này về ACL có tên, mạng con Jones không được phép truy cập:

Switch(config)# ip access-list standard prevention
Switch(config-std-nacl)# remark Do not allow Jones subnet through
Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255
Trong ví dụ này về ACL có tên, mạng con Jones không được phép sử dụng Telnet bên ngoài:

Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet
Tạo ACL được đặt tên MAC

Bạn có thể lọc lưu lượng truy cập không phải là IPv4 trên Vlan hoặc trên interface Lớp 2 bằng cách sử dụng địa chỉ MAC và các ACL mở rộng có tên MAC. Quy trình này tương tự như cấu hình các ACL có tên mở rộng khác.

Lưu ý MAC ACL chỉ được hỗ trợ khi switch đang chạy hình ảnh cơ sở LAN.

Để biết thêm thông tin về các giao thức không phải IP được hỗ trợ trong lệnh mở rộng danh sách truy cập mac, hãy xem tham chiếu lệnh cho bản phát hành này.

Lưu ý Mặc dù hiển thị trong chuỗi trợ giúp dòng lệnh, appletalk không được hỗ trợ làm điều kiện khớp cho từ chối và cho phép các lệnh chế độ cấu hình danh sách truy cập MAC.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để tạo ACL mở rộng có tên MAC:

Sử dụng lệnh cấu hình toàn cầu tên mở rộng không có danh sách truy cập mac để xóa toàn bộ ACL. Bạn cũng có thể xóa các ACE riêng lẻ khỏi các ACL mở rộng MAC được đặt tên.

Ví dụ này cho thấy cách tạo và hiển thị danh sách truy cập có tên mac1, chỉ từ chối lưu lượng truy cập EtherType DECnet Giai đoạn IV, nhưng cho phép tất cả các loại lưu lượng khác.

Switch(config)# mac access-list extended mac1
Switch(config-ext-macl)# deny any any decnet-iv
Switch(config-ext-macl)# permit any any
Switch(config-ext-macl)# end
Switch # show access-lists
Extended MAC access list mac1
10 deny any any decnet-iv
20 permit any any
Áp dụng MAC ACL cho interface lớp 2

Sau khi bạn tạo MAC ACL, bạn có thể áp dụng nó cho interface Lớp 2 để lọc lưu lượng không phải IP đến trong interface đó. Khi bạn áp dụng MAC ACL, hãy xem xét các nguyên tắc sau:

    Bạn có thể áp dụng không quá một danh sách truy cập IP và một danh sách truy cập MAC cho cùng một interface Lớp 2. Danh sách truy cập IP chỉ lọc các gói IP và danh sách truy cập MAC lọc các gói không phải IP.
    Interface lớp 2 chỉ có thể có một danh sách truy cập MAC. Nếu bạn áp dụng danh sách truy cập MAC cho interface Lớp 2 có cấu hình ACL MAC, ACL mới sẽ thay thế interface được cấu hình trước đó.

Bắt đầu ở chế độ EXEC đặc quyền, hãy làm theo các bước sau để áp dụng danh sách truy cập MAC để kiểm soát quyền truy cập vào interface Lớp 2:

Để xóa nhóm truy cập đã chỉ định, hãy sử dụng lệnh cấu hình interface {name} nhóm truy cập mac.

Ví dụ này cho thấy cách áp dụng danh sách truy cập MAC mac1 vào một cổng để lọc các gói vào cổng:

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# mac access-group mac1 in
Lưu ý Lệnh cấu hình interface nhóm truy cập mac chỉ hợp lệ khi được áp dụng cho interface Lớp 2 vật lý. Bạn không thể sử dụng lệnh trên các kênh cổng EtherChannel.

Sau khi nhận được một gói, switch sẽ kiểm tra nó dựa vào ACL gửi đến. Nếu ACL cho phép, switch tiếp tục xử lý gói. Nếu ACL từ chối gói, switch sẽ loại bỏ nó. Khi bạn áp dụng ACL không xác định cho giao diện, switch hoạt động như thể ACL chưa được áp dụng và cho phép tất cả các gói. Hãy nhớ hành vi này nếu bạn sử dụng ACL không xác định để bảo mật mạng.

Hiển thị cấu hình AC4 IPv4

Bạn có thể hiển thị các ACL được cấu hình trên switch và bạn có thể hiển thị các ACL đã được áp dụng cho các giao diện.

Khi bạn sử dụng lệnh cấu hình interface nhóm truy cập ip để áp dụng ACL cho interface Lớp 2, bạn có thể hiển thị các nhóm truy cập trên giao diện. Bạn cũng có thể hiển thị các ACL MAC được áp dụng cho interface Lớp 2. Bạn có thể sử dụng các lệnh EXEC đặc quyền như được mô tả trong Bảng 1-2 để hiển thị thông tin này.