ACL交换机安全端口.ppt

一、交换机安全端口1.1 交换机安全端口概述交换机可以通过限制允许访问交换机上某个端口的MAC地址以及IP 地址（可选）来实现严格控制对该端口的输入当为安全端口打开了 端口安全功能并配置了安全地址后，除了源地址为规定的安全地址外 的其他数据包将不进行转发，只对源地址为安全地址的数据包进行转 发对交换机端口安全地址的配置实现了在数据链路层上对数据包的过 滤安全地址既可以是MAC地址也可以是MAC地址与IP地址的组合， 即将MAC地址与IP地址绑定后，设置为安全地址当一个端口被设置成安全端口以后，如果该端口收到一个源地址不 属于该端口安全地址的数据包时，将产生一个安全违例事件，该事件 可以通过配置交换机对违例事件的处理方式来采取不同的处理方法， 如：丢弃数据包或发送通知等每个安全端口都可以配置器安全地址的最大个数安全地址的配置 既可以通过手动添加的方式也可以通过交换机自动学习的方式来实现 需要注意的是，自动学习的安全地址均不会绑定地址，如果在一个端 口上，你已经设置了绑定IP地址的安全地址，这不能在通过自动学习 来增加安全地址但可以设置一部分安全地址（MAC地址），剩下的 部分由交换机自动学习。

1.2 交换安全端口的默认配置端口安全默认配置包括四项具体内容，如下表所示：内容设置端口安全状态所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护（protect）其中违例处理方式一共包含三种： 1、protect 保护端口当安全地址个数满后，即出现违例事件时，安 全端口将丢弃未知（源地址不在安全地址内）的数据包； 2、restrict 当违例发生时，将发送一个Trap通知； 3、shutdown .当违例产生时，将关闭端口并发送一个Trap通知当 端口因违例而被关闭后，可以在全局配置模式下通过命令errdisable recovery将端口从错误状态中恢复过来1.3 交换机安全端口配置Ⅰ、配置端口安全地址的最大个数及违例处理方式：① configure terminal 进入全局配置模式；②interface interface-id 进入端口配置模式；③switchport mode access 设置接口为access模式，如果端口已是 access模式该步骤可以省略；④swtichport port-security 打开该端口的安全功能；⑤switchpoet port-security maximum value 设置该接口上安全地址的 最大个数（由value指定，范围是1-128） ；⑥switchport port-security violation {protect|restrict|shutdown}设置安全端口违例处理方式。

实例： Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)#end Switch(config)#show port-security interface gigabitethernet 1/31.3 交换机安全端口配置Ⅱ 、配置安全端口上的安全地址：① configure terminal 进入全局配置模式；②interface interface-id 进入端口配置模式；③swtichport port-security mac-address mac-address ip-address ip- address 手工配置接口上的安全地址，ip-address为可选项，为这个地址绑定ip地址 ；④ end 回到特权模式；⑤show port-security address 验证配置。

实例： Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073cip-address 192.168.12.202 Switch(config-if)#end Switch(config)#show port-security address 或 Switch(config)#show port-security address interface gigabitethernet 1/31.3 交换机安全端口配置Ⅲ 、配置安全地址的老化时间：① configure terminal 进入全局配置模式；②interface interface-id 进入端口配置模式；③swtichport port-security aging {static|time time} time表示老化时间，范围是0-1440，单位是分钟，如果设置为0表示老化功能关闭，其默认值为0、static表示老化时间将同时应用于手工配置和自动学习的安全地址，否则只应用于自动学习的地址；④ end 回到特权模式；实例： Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport port-security aging time 8 Switch(config-if)# switchport port-security aging static Switch(config-if)#end Switch(config)#show port-security interface gigabitethernet 1/3 注意事项： 1、只有在设置了端口安全地址最大个数的情况下才能设置老化时间； 2、可以通过如下命令关闭老化功能—no switchport port-security aging time; 3、使用吐下命令将老化时间仅应用于动态学习的地址—no switchport port-security aging static。

二、访问控制列表 ACL2.1 访问控制列表概述访问控制列表ACL（Access Control List）实现了路由器和三层交换机 端口上的包过滤功能，进而实现网络安全功能过滤功能可以对符合过 滤标准的数据包执行丢弃或转发操作因此实现访问控制列表必须清楚 网络是如何设计的 2.2 访问控制列表的类型访问控制列表分为IP标准访问控制列表（Standard IP ACL）和IP扩展 访问控制列表（Extended IP ACL）对于满足标准，即访问控制条件的数据包有两种处理方式：允许（ Permit）或拒绝（Deny）访问控制列表在应用时有两种应用方式：入栈（In）应用和出栈（Out ）应用因此，访问控制列表包含以下要素：① 列表名称及类型；② 访问控制条件；③ 满足访问控制条件时，所执行的操作；④ 访问控制列表应用的端口；⑤ 条件应用在端口的哪儿一侧，即入栈还是出栈2.3 访问控制列表的配置 1、标准访问控制列表（Standard IP ACL）标准访问控制列表给予IP数据包中的IP地址设置访问条件IP标准访问控制列表 的格式如下：access-list listnumber {permit|deny|} address [wildcard-mask]其中： listnumber 是规则号，用于区分不同的访问控制列表，标准访问控制列表的规则序 号的范围是1～99；permit和deny 表示允许或禁止满足该规则的数据包通过；address是IP数据包的源IP地址；wildcard-mask是源IP地址的反掩码。

router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 router(config)#access-list 1 deny 0.0.0.0 255.255.255.2552、扩展访问控制列表（Extended IP ACL）扩展访问控制列表不仅可以对原IP地址加以控制，还可以对目的IP地址、 协议及端口号进行控制，也就是说在访问控制条件中可以添加目的IP地址、 协议、端口号IP扩展访问列表的的格式如下：access-list listnumber {permit|deny} protocol source source-wildcard- mask destination destination-wildcard-mask [operator operand] 其中：listnumber 是访问控制列表的规则号，其范围是100-199; protocol 是指定的协议，如：IP、TCP、UDP等；destination 是目的地址；destination-wildcard-mask 是目的地址的反掩码；operator和operand用于指定端口范围，默认为全部端口号—0~65535，只 有TCP和UDP协议需要指定端口范围；扩展访问控制列表支持的操作符及其语法，即operator的使用，见下表：操作符及其语法意义eq portnumber等于端口号 portnumbergt portnumber大于端口号 portnumberlt portnumber小于端口号 portnumberneq portnumber不等于端口号 portnumberrange portnumber _1 portnumber_2介于端口号portnumber_2 和portnumber_1之间入栈应用与出栈应用这两个应用是相对于设备的某一端口而言，入栈应用（in）是当数据从设备外 流入设备端口时进行访问控制；出栈应用（out）是当数据从设备内流出设备端 口时做访问控制。

2.4 访问控制列表配置实例1、标准访问控制列表配置实例 访问控制列表采用创建ACL、接口上应用ACL、查看ACL三个部分，具体如下： Ⅰ、创建standard IP ACL①configure terminal 进入全局配置模式；②ip access-list standard [name] 用数字或名字来定义一条standard IP ACL,并进入到access-list配置模式；③deny {source source-wildcard|host source|any} 在access-list配置模式下，声 明一个禁止通过的访问控制条件其中host source代表一台源主机，其source- wildcard为0.。