动态ACL下发与用户访问控制

三层交换机配置ACL(访问控制列表）说明：书本上讲述的ACL主要是应用在路由器上，但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。

ACL访问控制列表是构建安全规范的网络不可缺少的，但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。

在这里我介绍一下在三层交换机上配置ACL的试验过程。

试验拓扑介绍：三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。

PC1 192。

168。

20。

10 VLAN 192。

168。

20。

1PC2 192.168。

30.20 VLAN 192。

168.30。

1PC3 192.168.40.30 VLAN 192。

168。

40。

1PC4 192。

168.50。

40 VLAN 192.168。

50.1F0/1 192.168。

70。

2 (开启路由功能）路由器上配置F0/0 192.168。

60。

1 PC5 192.168.60。

50F0/1 192。

168。

70.1试验步骤：1、在二层交换机上把相应的PC加入VLAN查看交换机Switch0Switch0(config）＃show run！interface FastEthernet0/1switchport access vlan 2!interface FastEthernet0/2switchport access vlan 3！查看交换机Switch1Switch1#show run！interface FastEthernet0/3switchport access vlan 4！interface FastEthernet0/4switchport access vlan 5！2、在三层交换机上配置相应的本地VALNSwitch（config）＃inter vl 2Switch（config—if）＃ip add 192。

168.20.1 255.255。

ACL的应用一、概述属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。

现在可以应用在：1、data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发等操作（对象:数据包、数据帧）2、control plan 对路由条目的匹配，对路由条目执行策略（路由条目）二、理论以及命令全局模式下：access-list<1-99> IP标准访问控制列表<100-199>IP扩展访问控制列表<200-299>协议类型代码访问控制列表没有明确标准的应用的流量<300-399>DECnet 访问控制列表<700-799>48bit MAC地址访问控制列表<1100-1199>扩展的48bit MAC地址访问控制列表<1300-1999>IP标准访问控制列表<2000-2699>IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议1、标准只能匹配协议中的一个地址（源地址）命令access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0）掩码：/nn&x.x.x.x log/<cr>例子access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用，否则不存在任何意义。

一般调用在接口下，比较常用。

调用的时候有方向：in或者out注意：每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行，默认一般都是以10 开始编号，间隔是10，最大是2147483647。

一般认为无上限。

ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。

因为ACL 一旦匹配，就会立即执行动作，不会放到后一条。

例子：first：deny 192.168.1.0Second：permit 192.168.0.0Third：deny 192.0.0.0ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围反掩码与通配符的不同，是通配符不用连续例子：192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0 192.168.00000001.0192.168.3.0 192.168.00000011.0192.168.5.0 192.168.00000101.0红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果是：192.168.1.0（3.0、5.0都行最后默认都会变成1.0）0.0.6.255（通配符）网络号是匹配路由的时候使用，IP是对数据包进行匹配show ip access-lists 查询出匹配了多少包clear ip access-lists counters [acl num]/<cr>没加反掩码或者通配符的话，那么后面自动跟上0.0.0.0如果先permit any 再permit 明细的话，会报错。

华为认证视讯系统网络工程师模拟试卷华为认证视讯系统络工程师模拟试卷H3C认证络工程师，H3C Certified Network Engineer，英文简称H3CNE。

主要面向中小型企业的络设计与实施人员。

下面是关于华为认证视讯系统络工程师模拟试卷，希望大家认真练习!1. 保证内安全实际上就是要保证用户域、络域、服务域和业务域安全。

( )True False2.终端安全立体防御解决方案不包括以下哪个?( )A. 一体化B. 多层次C. 全方位D. 身份认证3. 某公司访客接待大厅中，临时接入的终端用户数量较多，管理员希望不需要申请和记忆特定的账号和密码即可访问Internet。

可使用以下哪种账号?( )A. 访客账号B. 匿名认证C. AD账号D. MAC账号4. 某公司部署Policy Center系统，业务系统所在段为10.1.1.0/24，接入控制方式是Portal关方式，下面说法正确的是哪些? ( )(Select 2 Answers)A. 在Portal认证过程中，Policy Center 服务器充当Raduis 服务器角色，Portal关设备充当Portal服务器角色。

B. 终端用户能通过Web Agent登陆方式访问该公司业务资源。

C. 终端完成安全认证后，Raduis服务器会下发动态ACL，允许主机访问10.1.1.0/24段。

D. 可以通过配置逃生通道的方式，加强系统可靠性。

5. 下面关于802.1X接入流程，说法正确的是哪些选项?( ) (Select 2 Answers)A. 整个认证过程终端通过EAP报文与服务器交互信息。

B. 终端与802.1X交换机进行EAP报文交互，802.1X交换机与服务器使用Radius报文交互信息。

C. 802.1X认证不需要进行安全策略检查。

D. 使用MD5算法对信息进行校验。

某企业共有3台服务器，部署Policy Center系统规划最合理的是哪种方案?A. 管理器+控制器+FTP+见证数据库，控制器+主数据库+FTP，控制器+镜像数据库+FTPB. 管理器+控制器+FTP+主数据库，控制器+FTP+见证数据库，控制器+FTP+镜像数据库C. 管理器+控制器+FTP+镜像数据库，控制器+FTP+见证数据库，控制器+FTP+主数据库D. 管理器+控制器+FTP，控制器+FTP+见证数据库，控制器+FTP+主数据库Policy Center的主要功能模块包括以下哪些选项?( ) (Select 3 Answers)A. 接入控制B. 系统管理C. 安全管理D. 补丁管理8. Policy Center支持对哪些补丁进行管理?( ) (Select 3 Answers)A. Microsoft Windows操作系统补丁B. Microsoft SQL Server数据库补丁C. Microsoft Internet Explorer补丁D. android 系统补丁9. 部署策略中心时，哪个不是控制层次可靠性技术? ( )A. 硬件SACG可用性设计B. 硬件SACG逃生通道C. 软件SACG逃生通道D. 服务器负载均衡10. 某企业采用单台服务器部署Policy Center系统，以下说法正确的是哪个? ( )A. 该企业员工人数可以超过5000B. 当SC出现故障时可以进行转移切换C. 该企业可以采用外部认证源进行身份认证D. 该企业不能够部署硬件SACG双机热备11(题型：多选)以下属于全适配的MCU产品有()。

IP访问控制列表算是Cisco IOS一个内在的security feature，以下是对常用的动态访问控制列表做了个总结。

Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key动态ACL使用IP动态扩展ACL过滤IP流量。

当配置了lock-and-key动态ACL 之后，临时被拒绝掉的IP流量可以获得暂时性的许可。

lock-and-key动态ACL临时修改路由器接口下已经存在的ACL，来允许IP流量到达目标设备。

之后lock-and-key动态ACL把接口状态还原。

通过lock-and-key动态ACL获得访问目标设备权限的用户，首先要开启到路由器的telnet 会话。

接着lock-and-key动态ACL自动对用户进行认证。

如果认证通过，那么用户就获得了临时性的访问权限。

Configuring Lock-and-Key配置lock-and-key动态ACL的步骤如下：1.设置动态ACL：BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}2.扩展动态ACL的绝对计时器。

可选：BitsCN(config)# access-list dynamic-extend3.定义需要应用ACL的接口：BitsCN(config)#interface {interface}4.应用ACL：BitsCN(config-if)#ip access-group {ACL}5.定义VTY线路：BitsCN(config)#line vty {line-number [ending-line-number]}6.对用户进行认证：BitsCN(config)#username {username} password {password}7.采用TACACS认证或本地认证方式。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。