acl访问控制列表对于构建一个安全规范的网络来说是不可或缺的,但是在三层交换机上配置acl对于一些刚进入企业的初级网管和维护人员来说是不了解的。下面描述了在第三层交换机上配置acl的试验过程。1.将相应的pc添加到第2层交换机的vlan中。
2.在第3层交换机上配置相应的本地valn。
3.打开第2层交换机和第3层交换机之间的中继链路。
4.在路由器和第3层交换机上配置动态路由协议rip。
交换机的端口都是二层端口,只识别mac地址,而acl是基于ip地址的,三层以上的端口只能绑定svi接口。
交换机上的acl用于限制管理设备的主机,部署模式应该如下:intvlan1ipadd172.16.21.254255.255.255.0noshutipacc
acl规则
网络中经常提到的acl规则是ciscoios提供的一种访问控制技术。
最初只在路由器上支持,但近年来扩展到了三层交换机,一些最新的二层交换机如2950也开始提供acl支持。it只是支持的功能不是那么完美。其他厂商的路由器或多层交换机上也提供了类似的技术,只是名称和配置方法可能略有不同。本文中的所有配置示例都是基于ciscoios的acl编写的。
基本原理:acl利用包过滤技术读取路由器上第三层和第四层报头中的信息,如源地址、目的地址、源端口、目的端口等。,并根据预定义的规则过滤数据包,从而达到访问控制的目的。
功能:网络中有两类节点:资源节点和用户节点,资源节点提供服务或数据,用户节点访问资源节点提供的服务和数据。acl的主要作用是保护资源节点,防止非法用户访问资源节点,另一方面限制特定用户节点的访问权限。
在实施acl的过程中,我们应该遵循以下两个基本原则:
1.最小特权原则:只给被控对象完成任务所必需的最小权限。
2.最接近受控对象原理:全网络层访问权限控制。
局限性:acl是通过包过滤技术实现的,过滤的依据只是第三层和第四层报头中的部分信息。这种技术有一些固有的限制,比如不能识别特定的人和应用程序中的权限级别。因此,要实现端到端的访问控制,需要结合系统级和应用级的访问控制。
