MyPower 交换机操作手册09安全功能操作.docx
《MyPower 交换机操作手册09安全功能操作.docx》由会员分享,可在线阅读,更多相关《MyPower 交换机操作手册09安全功能操作.docx(32页珍藏版)》请在冰豆网上搜索。
MyPower交换机操作手册09安全功能操作
目录
第1章ACL配置1-1
1.1ACL介绍1-1
1.1.1Access-list1-1
1.1.2Access-group1-1
1.1.3Access-list动作及全局默认动作1-1
1.2ACL配置1-2
1.3ACL举例1-16
1.4ACL排错帮助1-20
第2章802.1x配置2-1
2.1802.1x介绍2-1
2.2802.1x配置2-2
2.3802.1x应用举例2-5
2.4802.1x排错帮助2-6
第1章ACL配置
DCRS-76002
1.1ACL介绍
ACL(AccessControlLists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。
用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:
允许通过(permit)或拒绝通过(deny)。
用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。
1.1.1Access-list
Access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。
每条rule包括了过滤信息及匹配此rule时应采取的动作。
Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。
根据不同的标准,access-list可以有如下分类:
●根据过滤信息:
ipaccess-list,ipv6access-list(三层以上信息),macaccess-list(二层信息),mac-ipaccess-list(二层以上信息)。
●根据配置的复杂程度:
标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。
●根据命名方式:
数字(numbered)和命名(named)。
对一条ACL的说明应当从这三个方面加以描述。
1.1.2Access-group
当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。
access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。
当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。
另外还可以在端口加上对ACL规则统计计数器,以便统计流经端口的符合ACL规则数据包的数量。
1.1.3Access-list动作及全局默认动作
Access-list动作及默认动作分为两种:
允许通过(permit)或拒绝通过(deny)。
具体有如下:
●在一个access-list内,可以有多条规则(rule)。
对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。
●全局默认动作只对端口入口方向的数据流量有效。
对出口的所有数据包,其默认转发动作均为允许通过(permit)。
●只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。
●当一条access-list被绑定到一个端口的出方向时,其规则(rule)的动作只能为拒绝通过(deny)。
1.2ACL配置
ACL配置任务序列如下:
1.配置access-list
(1)配置数字标准IP访问列表
(2)配置数字扩展IP访问列表
(3)配置命名标准IP访问列表
a)创建一个命名标准IP访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
(4)配置命名扩展IP访问列表
a)创建一个命名扩展IP访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
(5)配置数字标准MAC访问列表
(6)配置数字扩展MAC访问列表
(7)配置命名扩展MAC访问列表
a)创建一个命名扩展MAC访问列表
b)指定多条permit或deny规则表项
c)退出MAC访问表配置模式
(8)配置数字扩展MAC-IP访问列表
(9)配置命名扩展MAC-IP访问列表
a)创建一个命名扩展MAC-IP访问列表
b)指定多条permit或deny规则表项
c)退出MAC-IP访问表配置模式
(10)配置数字标准IPV6访问列表
(11)配置命名标准IPV6访问列表
a)创建一个命名扩展IPV6访问列表
b)指定多条permit或deny规则表项
c)退出IPV6访问表配置模式
(12)配置命名扩展IPV6访问列表
a)创建一个命名扩展IPV6访问列表
b)指定多条permit或deny规则表项
c)退出IPV6访问表配置模式
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.配置时间范围功能
(1)创建时间范围名称
(2)配置周期性时段
(3)配置绝对性时段
4.将accessl-list绑定到特定端口的特定方向
5.清空指定接口的包过滤统计信息
1.配置access-list
(1)配置数字标准IP访问列表
命令
解释
全局配置模式
access-list{deny|permit}{{}|any-source|{host-source}}
noaccess-list
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字标准IP访问列表。
(2)配置数字扩展IP访问列表
命令
解释
全局配置模式
access-list{deny|permit}icmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[[]][precedence][tos][time-range]
创建一条icmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}igmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[][precedence][tos][time-range]
创建一条igmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}tcp{{}|any-source|{host-source}}[s-port]{{}|any-destination|{host-destination}}[d-port][ack+fin+psh+rst+urg+syn][precedence][tos][time-range]
创建一条tcp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}udp{{}|any-source|{host-source}}[s-port]{{}|any-destination|{host-destination}}[d-port][precedence][tos][time-range]
创建一条udp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}{eigrp|gre|igrp|ipinip|ip|}{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[precedence][tos][time-range]
创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
noaccess-list
删除一条数字扩展IP访问列表。
(3)配置命名标准IP访问列表
a.创建一个命名标准IP访问列表
命令
解释
全局配置模式
ipaccess-liststandard
noipaccess-liststandard
创建一条命名标准IP访问列表;本命令的no操作为删除此命名标准IP访问列表。
b.指定多条permit或deny规则
命令
解释
命名标准IP访问列表配置模式
[no]{deny|permit}{{}|any-source|{host-source}}
创建一条命名标准IP访问规则(rule);本命令的no操作为删除此命名标准IP访问规则(rule)。
c.退出命名标准IP访问列表配置模式
命令
解释
命名标准IP访问列表配置模式
Exit
退出命名标准IP访问列表配置模式。
(4)配置命名扩展IP访问列表
a.创建一个命名扩展IP访问列表
命令
解释
全局配置模式
ipaccess-listextended
noipaccess-listextended
创建一条命名扩展IP访问列表;本命令的no操作为删除此命名扩展IP访问列表。
b.指定多条permit或deny规则
命令
解释
命名扩展IP访问列表配置模式
[no]{deny|permit}icmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[[]][precedence][tos][time-range]
创建一条icmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}igmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[][precedence][tos][time-range]
创建一条igmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}tcp{{}|any-source|{host-source}}[s-port]{{}|any-destination|{host-destination}}[d-port][ack+fin+psh+rst+urg+syn][precedence][tos][time-range]
创建一条tcp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}udp{{}|any-source|{host-source}}[s-port]{{}|any-destination|{host-destination}}[d-port][precedence][tos][time-range]
创建一条udp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|}{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[precedence][tos][time-range]
创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
c.退出命名扩展IP访问列表配置模式
命令
解释
命名扩展IP访问列表配置模式
Exit
退出命名扩展IP访问列表配置模式。
(5)配置数字标准MAC访问列表
命令
解释
全局配置模式
access-list{deny|permit}{any-source-mac|{host-source-mac}|{}}
noaccess-list
创建一条数字标准mac访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字标准mac访问列表。
(6)配置数字扩展MAC访问列表
命令
解释
全局配置模式
access-list{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3}[[[[]]]]]
noaccess-list
创建一条数字扩展mac访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字扩展mac访问列表。
(7)配置命名扩展MAC访问列表
a.创建一个命名扩展MAC访问列表
命令
解释
全局配置模式
Mac-access-listextended
nomac-access-listextended
创建一条命名扩展MAC访问列表;本命令的no操作为删除此命名扩展MAC访问列表。
b.指定多条permit或deny规则表项
命令
解释
命名扩展MAC访问列表配置模式
[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[cos[]][vlanId[]][ethertype[]]
创建一条匹配普通MAC帧的命名扩展MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)
[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[untagged-eth2[ethertype[protocol-mask]]]
创建一条匹配untagged以太网2帧类型的命名扩展MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)
[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[untagged-802-3]
创建一条匹配untagged802.3帧类型的MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)
[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[tagged-eth2[cos[]][vlanId[]][ethertype[]]]
创建一条匹配tagged以太网2帧类型的MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)
[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[tagged-802-3[cos[]][vlanId[]]]
创建一条匹配tagged802.3帧类型的MAC访问规则(rule);no操作为删除此命名扩展MAC访问规则(rule)
c.退出MAC访问表配置模式
命令
解释
命名扩展MAC访问列表配置模式
Exit
退出命名扩展MAC访问列表配置模式
(8)配置数字扩展MAC-IP访问列表
命令
解释
全局配置模式
access-list{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}icmp{{
创建一条mac-icmp数字扩展mac-ip访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}igmp{{