伊阳博客ACL模版:
下面给出需要禁止的常见端口和协议(不限于此):
Switch (config-ext-nacl)#deny tcp any any eq 135
Switch(config-ext-nacl)#deny tcp any any eq 139
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 135
Switch(config-ext-nacl)#deny udp any any eq 137
Switch(config-ext-nacl)#deny udp any any eq 138
Switch(config-ext-nacl)#deny tcp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 3333
Switch(config-ext-nacl)#deny tcp any any eq 5554
Switch(config-ext-nacl)#deny udp any any eq 5554
S2150G(config-ext-nacl)#deny udp any any eq netbios-ss
S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm
S2150G(config-ext-nacl)#deny udp any any eq netbios-ns
Switch(config-ext-nacl)#permit ip any any
最后一条必须要加上permit ip any any,否则可能造成网络的中断。
ACL注意点:
交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:% Error: Out of Rules Resources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应用。
ARP协议为系统保留协议,即使您将一条deny any any的ACL关联到某个接口上,交换机也将允许该类型报文的交换。
扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。
如果ACE项是先permit,则在最后需要手工加deny ip any any,如果ACE项是先deny,则在最后需要手工加permit ip any any。
ACL信息查看:
Switch#show access-lists 1
Extended IP access list: 1
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 443
deny tcp any any eq 445
……
permit ip any any
Switch#
端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。
端口安全配置:
Switch (config)#interface range f 0/1
Switch(config-if)#switchport port-security
//开启端口安全
Switch(config-if)#switchport port-security
//关闭端口安全
Switch(config-if)#switchport port-security maximum 8
//设置端口能包含的最大连接数为8
Switch(config-if)#switchport port-security violation protect
//设置处理违例的方式为protect
Switch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
//在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址:192.168.1.1
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
//删除接口上配置的安全地址
以上配置的最大安全地址数为8个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习7个地址。
违例处理方式有:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。
restrict:当违例产生时,将发送一个Trap通知。
shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口安全信息查看:
Switch#show port-security interface fastethernet 0/3
//查看接口f0/3的端口安全配置信息
Interface : Fa0/3
Port Security: Enabled
Port status : down
Violation mode:Shutdown
Maximum MAC Addresses:8
Total MAC Addresses:0
Configured MAC Addresses:0
Aging time : 8 mins
SecureStatic address aging : Enabled
Switch# show port-security address //查看安全地址信息
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ------------------ ------------------
1 00d0.f800.073c192.168.12.202 Configured Fa0/3 8
1 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7
一个安全端口只能是一个access port;
802.1x认证功能和端口安全不能同时打开;
在同一个端口上不能同时应用绑定IP 的安全地址和ACL,否则会提示属性错误: % Error: Attribute conflict。
谢谢,学习了