1.ACL概述
ACL是Access Control List的缩写,意为访问控制列表。访问控制列表是交换机、路由器及防火墙中的常用技术,常用来根据事先设定的访问控制规则,过滤某些特定MAC地址、IP地址、协议类型、服务类型的数据包,合法的允许通过,不合法的阻截并丢弃。访问控制列表技术是包过滤防火墙的基础技术,但是在防火墙和交换机、路由器中,默认的转发和拦截规则是不一样的。交换机、路由器以转发数据包为主要任务,因此常使用“宽松规则”,也就是“只要不是禁止的就是允许的”,默认情况下转发所有数据包,仅仅拦截访问控制列表中特定的那些数据包。而防火墙以安全控制为主要任务,因此常使用“严谨规则”,即“只要不是允许的就是禁止的”。
SCALANCE X-300/400的访问控制列表技术使用了特定的MAC地址过滤技术,给网络管理提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主机访问同样的资源。单播过滤技术使用在访问控制列表中。如果访问控制列表使能,来自于“不知道”MAC地址的数据包就立刻被过滤掉。所以要想“知道”MAC地址的数据包通过,就必须建立一个单播入口规则。
2.ACL组态
本例网络组态由两台交换机SCALANCE X414-3E,分别称为Switch A和Switch B,通过各自的Port 5.1相连。Switch C为SCALANCE X204-2与Switch A的Port 9.4相连,PG/PC1、PG/PC2分别与Switch B的10.4、11.4相连,其中PG/PC1的MAC地址为08-00-06-90-BA-AD;PG/PC2的MAC地址为00-13-72-7C-98-6B,相应的IP地址参考图4-91。Switch B不做组态,通过Switch A组态设置ACL,查看PG/PC1和PG/PC2对Switch C(资源)的访问。
图4-91 ACL网络拓扑
Switch A组态
通过IE浏览器打开Switch A的Web页面,输入用户名和密码,均为“admin”。再单击目录树“Switch”→“Unicast Filter(ACL)”,可以看见右侧当前的单播过滤表,其中可以看到通过5.1端口,交换机学习到PG/PC1和PG/PC2的MAC地址,如图4-92所示。
图4-92 单播过滤表
通过Ping指令,PG/PC1和PG/PC2可以Ping通Switch C。单击“New Entry”按钮,复制PG/PC1的静态MAC地址并设置Port5.1为“M”。“M”表示允许单播数据通过该端口,如图4-93所示,单击“Set Values”按钮结束。
图4-93 设置Port5.1为“M”(www.xing528.com)
设置完毕后,再次单击进入,可见端口9.1和10.1的端口属性为“#”,表明该端口无效,因为这两个端口被设置了VLAN,而不在VLAN1上,如图4-94所示。
图4-94 9.1和10.1的端口属性为“#”
再次单击目录树“Switch”→“Unicast Filter(ACL)”,右侧当前的单播过滤表中PG/PC1的MAC地址设置为静态,如图4-95所示。
图4-95 MAC地址设置为静态
单击目录树“Switch”→“Unicast Filter(ACL)”→“Ports”,使能端口5.1,然后单击“Set Values”按钮结束设置,如图4-96所示。
图4-96 使能端口5.1
这时单击目录树“Switch”→“Unicast Filter(ACL)”,只有PG/PC1在5.1端口上,如图4-97所示。
图4-97 显示状态
通过对Switch A的访问控制列表设置,只有PG/PC1可以访问Switch C。这样从网络管理和安全角度,来自于非PG/PC1的MAC的单播帧都会被丢弃。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
