ACL是关于网络安全的配置。
随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员必须面对的问题。
一方面,为了业务的发展,必须允许对网络资源的开放访问权限;
另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过ACL可以对数据流进行过滤,是实现基本的网络安全手段之一。
本章只讨论基于IPv4和IPv6的ACL功能、工作原理、使用原则、标准ACL和扩展ACL 以及IPv4 ACL和 IPv6 ACL的配置。
访问控制列表(Access Control List,ACL)是控制网络访问的一种有利的工具。
所谓ACL就是一种路由器配置脚本,它根据从数据包包头中发现的信息(源地址、目的地址、源端口、目的端口和协议等)来控制路由器应该允许还是拒绝数据包通过,从而达到访问控制的目的。
ACL是Cisco IOS 软件中最常用的功能之一,其应用非常广泛,可以实现如下典型的功能:
①限制网络流量以提高网络性能。
②提供基本的网络访问安全。
③控制路由更新的内容。
④在QoS实施中对数据包进行分类。
⑤定义IPSec VPN的感兴趣流量。
⑥定义策略路由的匹配策略。
实际工作中,ACL常在汇聚层的三层交换机上进行配置,路由器上很少配。
4. 配置过程
4.1 S1
4.2 VPC1
(略)
4.3 VPC2
(略)
4.4 VPC3
(略)
4.5 FTP-Server
5. 验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping通 FTP-Server
VPC3 ping通 FTP-Server
6. 使用ACL进行内网安全控制配
允许设计中心设备访问汽车工程研究院FTP服务器
禁止其它设备访问汽车工程研究院FTP服务器
6.1 配置脚本
脚本中绿色字体的就是ACL的配置,可以看出,增加的命令并不多。
6.2 配置过程
6.3 验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping不通 FTP-Server
VPC3 ping不通 FTP-Server
1. 实验拓扑
2. 配置脚本-实现互通
测试所有PC均可ping通172.16.80.0/24网段的设备
3. 配置脚本-ACL控制
目标,只有Network-Admin才能访问172.16.80.0网段的设备,实现只有管理员才能管理交换机。
在一台交换机中SSH另一台交换机
S2#ssh -l admin -v 2 172.16.80.1
exec-timeout
exec-timeout 0 0是Cisco路由器配置命令,用于设置用户会话的超时时间。
具体来说,exec-timeout 0 0表示禁用了用户会话的超时功能。这意味着用户在登录后可以无限期地保持连接,直到手动断开连接或系统重启。
这个命令通常用于需要长时间保持连接的场景,例如远程维护、网络监控等。通过禁用超时功能,可以避免因超时而意外断开连接,从而确保用户能够持续访问设备。
需要注意的是,禁用超时功能可能会增加安全风险,因为如果用户长时间保持连接,可能会被恶意攻击者利用。因此,在实际应用中,应根据实际需求和安全性要求来合理设置超时时间。
详见:https://blog.csdn.net/utopiaZH7/article/details/104004823
logging
logging synchronous的主要用途是同步输出日志消息,确保它们不会影响正在进行的配置操作。
在网络设备,尤其是Cisco路由器的配置中,当启用了logging synchronous时,它会将日志消息和调试输出与控制台、辅助(Aux)和虚拟终端(VTY)线路上的命令输入同步。这样做的好处是,当你正在配置设备时,突然出现的日志信息不会中断或分隔你正在输入的命令,从而避免了命令输入错误。
具体来说,logging synchronous的作用包括:
-
防止命令输入中断:在没有启用logging synchronous的情况下,如果系统自动产生日志,可能会在你输入命令的过程中出现,导致命令被意外中断,影响配置的准确性。
-
提高配置效率:通过同步日志输出,可以减少因日志信息导致的配置错误,从而提高配置效率和准确性。
需要注意的是,在某些情况下,如进行故障排查时,可能需要关闭logging synchronous以便更快地查看实时日志信息。因此,是否启用logging synchronous应根据实际需求和配置环境来决定。
enable password 7 admin
//7表示show running时不显示密码,这样可以确保安全。
line console 0
logging synchronous
exec-timeout 0 0
第1个0表示分钟,第2个0表示秒