HCIE学习之路3:ACL实验

随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益突出。

  • 企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。
  • Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
  • 网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。

以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。

ACL是Access Control List的缩写,用于控制网络设备(如路由器、交换机)或操作系统(如Windows、Linux)上的用户或进程对资源(如文件、文件夹、端口)的访问权限。通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

看一个具体实例:

  • 某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
  • 保护企业内网环境安全,防止Internet病毒入侵。实现方式:在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。

ACL编号:用于标识ACL,表明该ACL是数字型ACL。根据ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL和用户ACL这几种类型,每类ACL编号的取值范围不同。除了可以通过ACL编号标识ACL,设备还支持通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。例如,下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

acl name deny-telnet-login 3998

rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet

rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet

  • 规则:即描述报文匹配条件的判断语句。
    • 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。所以,图1-2中的rule 5排在首位,而规则编号最大的rule 4294967294排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。
    • 动作:包括permit/deny两种动作,表示允许/拒绝。
    • 匹配项:ACL定义了极其丰富的匹配项。除了源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。

ACL实验拓扑图:

SW3的配置信息:

system
sysname sw3
#
vlan batch 10 20 30 100
#
acl number 3002
rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.100.0 0.0.0.25
5 time-range workday
acl number 3003
rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.100.0 0.0.0.25
5 time-range workday
#
traffic classifier c-market operator and
if-match acl 3002
traffic classifier c-rd operator and
if-match acl 3003
#
traffic behavior b-market
deny
traffic behavior b-rd
deny
#
traffic policy p-market
classifier c-market behavior b-market
traffic policy p-rd
classifier c-rd behavior b-rd
#
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
traffic-policy p-rd inbound
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
traffic-policy p-market inbound
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 100

该交换机的配置定义了VLAN、ACL、Traffic Policy等内容。交换机的端口配置如下:

  • 端口GigabitEthernet0/0/1属于VLAN10;
  • 端口GigabitEthernet0/0/2属于VLAN20,并应用了名为p-rd的Traffic Policy;
  • 端口GigabitEthernet0/0/3属于VLAN30,并应用了名为p-market的Traffic Policy;
  • 端口GigabitEthernet0/0/4属于VLAN100。

其中,Traffic Policy p-rd和p-market分别应用了名为c-rd和c-market的Traffic Classifier,这些Traffic Classifier又分别应用了名为acl 3003和acl 3002的ACL。ACL 3003和3002定义了禁止源IP地址为192.168.30.0/24和192.168.20.0/24的主机访问目标IP地址为192.168.100.0/24的主机。这些ACL还指定了时间范围workday,因此只在工作日生效。从而实现了对不同Vlan访问服务器的不同控制。

Traffic Classifier(流分类)和Traffic Policy(流策略)是QoS(Quality of Service)中的两个重要概念,用于实现网络流量的分类和管理。

Traffic Classifier用于对网络流量进行分类,可以根据IP地址、MAC地址、协议类型、端口号等条件对流量进行匹配。匹配成功后,可以将流量分配到不同的Traffic Policy中进行处理。

Traffic Policy用于对不同类型的网络流量进行不同的处理,可以实现限速、限制带宽、丢弃、重标记等操作。Traffic Policy可以包含多个Traffic Behavior,每个Traffic Behavior定义了一种特定的流量处理方式。

Traffic Behavior是Traffic Policy中的一部分,用于定义一种特定的流量处理方式。Traffic Behavior可以定义丢弃、转发、重标记等操作,可以根据需要组合多种操作。在Traffic Policy中,不同的Traffic Classifier可以应用不同的Traffic Behavior,以实现对不同类型的流量进行不同的处理。

发表回复