![操作手册安全功能操作_第1页](http://file4.renrendoc.com/view/c794d5c205884b80dc0813847ce410af/c794d5c205884b80dc0813847ce410af1.gif)
![操作手册安全功能操作_第2页](http://file4.renrendoc.com/view/c794d5c205884b80dc0813847ce410af/c794d5c205884b80dc0813847ce410af2.gif)
![操作手册安全功能操作_第3页](http://file4.renrendoc.com/view/c794d5c205884b80dc0813847ce410af/c794d5c205884b80dc0813847ce410af3.gif)
![操作手册安全功能操作_第4页](http://file4.renrendoc.com/view/c794d5c205884b80dc0813847ce410af/c794d5c205884b80dc0813847ce410af4.gif)
![操作手册安全功能操作_第5页](http://file4.renrendoc.com/view/c794d5c205884b80dc0813847ce410af/c794d5c205884b80dc0813847ce410af5.gif)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
安全功能操作目录目录第1章ACL配置 1-1ACL安全功能操作目录目录第1章ACL配置 1-1ACL介绍 1-1Access-list 1-1Access-group 1-1Access-list动作及全局默认动作 1-1ACL配置 1-2ACL举例 1-18ACL排错帮助 1-22第2章802.1x配置 2-12.1802.1x介绍 2-12.1.1802.1x认证体系结构 2-12.1.2802.1x工作机制 2-2EAPOL消息的封装 2-3EAP属性的封装 2-42.1.5802.1x认证方式 2-52.1.6802.1x的扩展和优化 2-102.1.7VLAN分配特性 2-112.2802.1x配置 2-122.3802.1x应用举例 2-14GuestVlan应用举例 2-14802.1x与IPv4Radius应用举例 2-17802.1x与IPv6Radius应用举例 2-182.4802.1x排错帮助 2-19第3章端口、VLAN中MAC、IP数量限制功能配置 3-3.4端口、VLAN中MAC、IP数量限制功能简介 3-1端口、VLAN中MAC、IP数量限制功能配置任务序列 3-2端口、VLAN中MAC、IP数量限制功能典型案例 3-4端口、VLAN中MAC、IP数量限制功能排错帮助 3-4第4章AM功能操作配置 4-11安全功能操作目录AM功能简介 4-1AM功能配置任务序列 4-1AM功能典型案例 4-3安全功能操作目录AM功能简介 4-1AM功能配置任务序列 4-1AM功能典型案例 4-3AM功能排错帮助 4-3第5章TACACS+配置 5-1TACACS+简介 5-1TACACS+配置 5-1TACACS+典型案例 5-2TACACS+排错帮助 5-2第6章RADIUS配置 6-1RADIUS简介 6-1AAA与RADIUS简介 6-1RADIUS协议的报文结构 6-1RADIUS配置 6-3RADIUS典型案例 6-5IPv4Radius应用举例 6-5IPv6Radius应用举例 6-5RADIUS排错帮助 6-6第7章SSL配置 7-1SSL简介 7-1SSL基本原理 7-1SSL配置任务序列 7-2SSL典型案例 7-3SSL排错帮助 7-4第8章IPv6安全RA配置 8-1IPv6安全RA简介 8-1IPv6安全RA配置任务序列 8-1IPv6安全RA典型案例 8-2IPv6安全RA排错帮助 8-22安全功能操作目录第9章VLAN-ACL配置 9-1VLAN-ACL功能简介 9-1VLAN-ACL安全功能操作目录第9章VLAN-ACL配置 9-1VLAN-ACL功能简介 9-1VLAN-ACL功能配置任务序列 9-1VLAN-ACL功能配置案例 9-3VLAN-ACL排错帮助 9-4第10章MAB配置 10-1MAB介绍 10-1MAB基本配置 10-1MAB举例 10-3MAB排错帮助 10-611章PPPoE中间配置 11-1PPPoEIntermediateAgent介绍 11-1PPPoE简介 11-1PPPoEIA介绍 11-1PPPoEIntermediateAgent配置任务序列 11-5PPPoEIntermediateAgent典型应用 11-7PPPoEIntermediateAgent排错帮助 11-9第12章SAVI配置 12-1SAVI介绍 12-1SAVI配置 12-1SAVI典型应用 12-4SAVI排错帮助 12-6第13章WebPortal操作配置 13-1WebPortal认证功能简介 13-1WebPortal认证功能配置任务序列 13-1WebPortal认证功能典型案例 13-3WebPortal认证功能排错帮助 13-43安全功能操作1章ACL配置第1ACL配置1.1ACL介绍ACLAccessControlLists)是交换机实现的一种数据或拒绝特定进行安全功能操作1章ACL配置第1ACL配置1.1ACL介绍ACLAccessControlLists)是交换机实现的一种数据或拒绝特定进行所采取的动作: 交换机端口的换机。ACL规则进入交1.1.1Access-list(rule)rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、TCP端口、UDP端口等条件的有效组合。根据不同的标准,access-list可以有如下分类: (二层信息),mac-ipaccess-list(二层以上信息)。 (standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。 根据命名方式:数字(numbered)和命名(named)。ACL的说明应当从这三个方面加以描述。1.1.2Access-groupaccess-list之后,就可以把他们分别应用到不同端口的您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器,以便统计符合ACL规则数据包的数量。1.1.3Access-list动作及全局默认动作1-1安全功能操作1章ACL配置Access-list动作及默认动作分为两种或拒绝通过(deny) (rule),其后的规则(rule)不再进行匹配。全局默认动作只对端口方向的数据流量有效。 只有在 滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配的全局的默认动作。1.2ACL配置ACL配置任务序列如下:.(1)(2)(3)IPIPIP列表a)b)c)IP列表deny规则表项表配置模式)IP安全功能操作1章ACL配置Access-list动作及默认动作分为两种或拒绝通过(deny) (rule),其后的规则(rule)不再进行匹配。全局默认动作只对端口方向的数据流量有效。 只有在 滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配的全局的默认动作。1.2ACL配置ACL配置任务序列如下:.(1)(2)(3)IPIPIP列表a)b)c)IP列表deny规则表项表配置模式)IP列表a)b)c)IP列表deny规则表项表配置模式(5)(6)(7)配置数字标准MAC配置数字扩展MAC配置命名扩展MAC列表a)b)c)MAC列表deny规则表项MAC表配置模式MAC-IPMAC-IP列表列表a)b)c)(10)MAC-IP列表deny规则表项MAC-IP表配置模式IPv6列表列表列表IPv6IPv6)IPv6)deny规则表项c)IPv6表配置模式)IPv6列表1-2安全功能操作1章ACL配置a)b)c)2.配置IPv6列表deny规则表项IPv6滤功能表配置模式(1)全局打开滤功能(2)配置默认动作(defaultaction)创建时间范围名称配置周期性时段配置绝对性时段4.5.绑定到特定端口的特定方向滤统计信息1.(1)配置数字标准安全功能操作1章ACL配置a)b)c)2.配置IPv6列表deny规则表项IPv6滤功能表配置模式(1)全局打开滤功能(2)配置默认动作(defaultaction)创建时间范围名称配置周期性时段配置绝对性时段4.5.绑定到特定端口的特定方向滤统计信息1.(1)配置数字标准IP列表(2)配置数字扩展IP列表1-3命令解释全局配置模式access-list<num>{deny|permit}icmp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time-range<time-range-name>]ICMPIP访问列表,如果已有此列表,则增加一条规则(rule)表项。access-list<num>{deny|permit}igmp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>]IGMPIP访问列表,如果已有此列表,则增加一条规则(rule)表项。命令解释全局配置模式access-list<num>{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}noaccess-list<num>创建一条数字标准IP 如果已有此列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字标准IP 列表。安全功能操作1章ACL配置(3)IP列表a.IP列表b.permitdeny规则1-4命令解释命名标准IP 列表配置模式[no]{deny安全功能操作1章ACL配置(3)IP列表a.IP列表b.permitdeny规则1-4命令解释命名标准IP 列表配置模式[no]{deny|permit}{{<sIpAddr><sMask >} | any-source |{host-source<sIpAddr>}}创建一条命名标准IP 规(le本命令的no操作为删除此命名标准IP 规则(l命令解释全局配置模式ipaccess-liststandard<name>no ip access-list standard<name>创建一条命名标准IP 列表;本命令的no作为删除此命名标准IP 。access-list<num>{deny|permit}tcp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort>|range <dPortMin> [ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]创建一条TCP数字扩展IP列表,如果已有此 增加一条规则(rule)表项。access-list <num> {deny | permit} udp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][precedence <prec>] <tos>][time-range<time-range-name>]UDP数字扩展IP列表,如果已有此 增加一条规则(rule)表项。access-list<num>{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-num>}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[precedence <prec>] <tos>][time-range<time-range-name>]IP协议或所有IP协议的数字扩展IP访问列表,如果已有此列表,则增加一条规则(rule)表项。noaccess-list<num>删除一条数字扩展IP 安全功能操作1章ACL配置c.命名标准IP列表配置模式(4)IP列表a.IP列表b.permitdeny规则1-5命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | 安全功能操作1章ACL配置c.命名标准IP列表配置模式(4)IP列表a.IP列表b.permitdeny规则1-5命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [<icmp-type> [precedence <prec>] <tos>][time-range<time-range-name>]icmpIP则(l本命令的o操作为删除此命名扩展IP 规则(l[no] {deny | permit} igmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [<igmp-type>] [precedence<prec>] [tos<tos>][time-range<time-range-name>]创建一条igmp命名扩展IP则(l本命令的o操作为删除此命名扩展IP 规则(l[no]{deny|permit}tcp{{<sIpAddr><sMask>}| any-source | {host-source [s-port {<sPort> | range <sPortMax>}] {{<dIpAddr> <dMask>} any-destination | {host-destination<dIpAddr>}} [d-port {<dPort> | range<dPortMin> [ack+fin+psh+rst+urg+syn] [precedence<prec>] [tos<tos>][time-range<time-range-name>]规(lo除此命名扩展IP(l命令解释全局配置模式ipaccess-listextended<name>no ip access-list extended<name>创建一条命名扩展IP 列表;本命令的no作为删除此命名扩展IP 。命令解释命名标准IP 列表配置模式exit命名标准IP 配置模式。安全功能操作1章ACL配置c.命名扩展IP列表配置模式(5)配置数字标准MAC列表(6)配置数字扩展MAC列表1-6命令解释全局配置模式命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac>安全功能操作1章ACL配置c.命名扩展IP列表配置模式(5)配置数字标准MAC列表(6)配置数字扩展MAC列表1-6命令解释全局配置模式命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac><smac-mask>}}noaccess-list<num>mac列表,如果已有此列表,则增加一条规则(rule)表项;no操作为删除一条数字标准mac访问列表。命令解释命名扩展IP 列表配置模式exit命名扩展IP 配置模式。[no]{deny|permit}udp{{<sIpAddr><sMask>}| any-source | {host-source [s-port {<sPort> | range <sPortMax>}] {{<dIpAddr> <dMask>} any-destination | {host-destination<dIpAddr>}} [d-port {<dPort> | range<dPortMin> <dPortMax>}] [precedence<prec>] [tos<tos>][time-range<time-range-name>]创建一条udp命名扩展IP规(lo除此命名扩展IP(l[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-num>}{{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [precedence <prec>] [tos<tos>][time-range<time-range-name>]创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP规则;如果此编号数字扩展列表不存在则创建此列表。安全功能操作1章ACL配置(7)MAC列表a.MAC列表b.permitdeny规则表项1-7命令解释安全功能操作1章ACL配置(7)MAC列表a.MAC列表b.permitdeny规则表项1-7命令解释扩展MAC 列表配置模式命令解释全局配置模式mac-access-listextended<name>nomac-access-listextended<name>创建一条命名扩展MAC 列表;本命令的操作为删除此命名扩展MAC 列表。access-list <num> {deny|permit} {any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[{untagged-eth2|tagged-eth2|untagged-802-3|tagged-802-3}[<offset1><length1><value1>[<offset2><length2><value2>[<offset3><length3><value3>[<offset4><length4><value4>]]]]]noaccess-list<num>创建一条数字扩展mac列表,如果已有此列表,则增加一条令的no操作为删除一条数字扩展mac列表。安全功能操作1章ACL配置1-8[no]{deny|安全功能操作1章ACL配置1-8[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>} | {<dmac> <dmac-mask>}} [ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac |{host-destination-mac<host_dmac>} |{<dmac><dmac-mask>}}[vlanid<vid-value>[<vid-mask>][ethertype<protocol>[<protocol-mask>]]]创建一条匹配普通MAC帧名扩展MAC规则(rule);no操作为删除此命名扩展MAC规则(rule)[no]{deny|permit}{any-source-mac|{host-source-mac<hostst-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[untagged-eth2[ethertype<protocol>[protocol-mask]]]创建一条匹配untagged以太网2帧类型 规则(rule);no操作为删除此命名扩展MAC 规则(rule)[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[untagged-802-3]创建一条匹配untagged802.3帧类型名扩展MAC访问规则(rule);no操作为删除此命名扩展MAC规则(rule)[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value> [<vid-mask>]] [ethertype<protocol>[<protocol-mask>]]]tagged2帧类型名扩展MAC规则(rule);no操作为删除此命名扩展MAC访问规则(rule)安全功能操作1章ACL配置c.MAC表配置模式(8)配置数字扩展MAC-IP列表1-9命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac>安全功能操作1章ACL配置c.MAC表配置模式(8)配置数字扩展MAC-IP列表1-9命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}} icmp {{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination <destination-host-ip>}} [<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-ICMP数字扩展mac-ip列表,如果已有此访问列表,则增加一条规则(rule)表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} | {<dmac><dmac-mask>}}igmp {{<source><source-wildcard>}|any-source | {host-source {{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<igmp-type>][precedence <precedence>] [tos <tos>] <time-range-name>]创建一条MAC-IGMP数字扩展mac-ip列表,如果已有此访问列表,则增加一条规则(rule)表项。命令解释扩展MAC 列表配置模式exit命名扩展MAC 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-802-3[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]]tagged802.3帧类型名扩展MAC规则此命名扩展MAC安全功能操作1章ACL配置1-10access-list<num>{deny安全功能操作1章ACL配置1-10access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} | {<dmac><dmac-mask>}}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port{<port1> | range <sPortMin> <sPortMax>}]{{<destination><destination-wildcard>}|any-destination| {host-destination <destination-host-ip>}} [d-port{<port3> | range <dPortMin> <dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-TCP数字扩展mac-ip列表,如果已有此访问列表,则增加一条规则(rule)表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}} udp {{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-UDP数字扩展mac-ip列表,如果已有此访问列表,则增加一条规则(rule)表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source| {host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>] [tos <tos>] [time-range<time-range-name>]创建一条匹配其他特协议或所协议的数字扩展mac-ip列表,如果已有此列表,则增加一条规则(rule)表项。noaccess-list<num>删除一条数字扩展MAC-IP 列表。安全功能操作1章ACL配置(9)MAC-IP列表a.MAC-IP列表b.permitdeny规则表项命令解释安全功能操作1章ACL配置(9)MAC-IP列表a.MAC-IP列表b.permitdeny规则表项命令解释MAC-IP 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}icmp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条mac-icmp命名扩展MAC则(lo操作为删除此命名扩展MAC-IP 规则(l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>} | {<dmac> <dmac-mask>}} igmp{{<source> <source-wildcard>} | any-source |{host-source <source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination<destination-host-ip>}}[<igmp-type>][precedence <precedence>] [tos <tos>] <time-range-name>]创建一条mac-igmpMAC-IP访问规则(le;no操作为删除此命名扩规则(l命令解释全局配置模式mac-ip-access-listextended<name>nomac-ip-access-listextended<name>列表。安全功能操作1章ACL配置c.MAC-IP表配置模式1-12命令解释MAC-IP 列表配置模式[no]{deny安全功能操作1章ACL配置c.MAC-IP表配置模式1-12命令解释MAC-IP 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}tcp{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin> <dPortMax>}] [precedence <precedence>] [tos <tos>] <time-range-name>]MAC-IP则(lo操作为删除此命名扩展MAC-IP 规则(l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条mac-udp命MAC-IP则(lo操作为删除此命名扩展MAC-IP 规则(l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination <destination-host-ip>}} [precedence<precedence>] [tos <tos>] [time-range<time-range-name>]创建一条mac-ip其他协议类型名扩展MAC-IP 规则(lo操作为删除此命名扩展MAC-IP 规则(l安全功能操作1章ACL配置(10)IPv6列表(11)配置数字扩展IPv6列表1-13命令解释全局配置模式命令解释全局配置模式ipv6access-list<num>安全功能操作1章ACL配置(10)IPv6列表(11)配置数字扩展IPv6列表1-13命令解释全局配置模式命令解释全局配置模式ipv6access-list<num>{deny|permit}{{<sIPv6Addr><sPrefixlen>}|any-source | <sIpv6Addr>}}noipv6access-list<num>有此列表,则增加一条规则(rule)表IPv6列表。exit扩展MAC-IP 列表配置模式安全功能操作1章ACL配置)IPv6a)IPv6列表列表安全功能操作1章ACL配置)IPv6a)IPv6列表列表1-14命令解释全局配置模式ipv6access-list<num-ext>{deny|permit}icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination <dIPv6Addr>}} [<icmp-code>]] [dscp <dscp>] <fl>][time-range<time-range-name>]ipv6access-list<num-ext>{deny|permit}tcp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIPv6Prefix/dPrefixlen>}|any-destination|{host-destination<dIPv6Addr>}}[dPort{<dPort>|range<dPortMin><dPortMax>}][syn|ack|urg|rst|fin|psh][dscp<dscp>][flow-label<flowlabel>][time-range<time-range-name>]ipv6access-list<num-ext>{deny|permit}udp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source<sIPv6Addr>}}[s-port{<sPort>|range <sPortMin> {{<dIPv6Prefix/dPrefixlen>} | any-destination |{host-destination<dIPv6Addr>}}[dPort{<dPort>|range<dPortMin><dPortMax>}][dscp<dscp>][flow-label<flowlabel>][time-range<time-range-name>]ipv6 access-list <num-ext> {deny | permit}<next-header> {<sIPv6Prefix/sPrefixlen> any-source | {host-source {<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]noipv6access-list<num>IPV6列表,如果已有此 列表,令的no操作为删除一条数字标准IP 列表。安全功能操作1章ACL配置b)permitdeny规则c)IPV6列表配置模式(13)IPv6a)IPv6列表列表permitdeny规则1-15命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>安全功能操作1章ACL配置b)permitdeny规则c)IPV6列表配置模式(13)IPv6a)IPv6列表列表permitdeny规则1-15命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination <dIPv6Addr>}} [<icmp-code>]] [dscp <dscp>] <fl>][time-range<time-range-name>]创建一条icmp命名扩展IPv6规则(rle;本命令的no操作为删除此命名扩展IP6规则(l命令解释全局配置模式ipv6access-listextended<name>noipv6access-listextended<name>IPv6除此命名扩展IPv6列表。命令解释名标准IPv6 列表配置模式exit名标准IPv6 配置模式。命令解释命名标准IPv6 列表配置模式[no]{deny|permit}{{<sIPv6Prefix/sPrefixlen>}|any-source|{host-source<sIPv6Addr>}}IPv6(lo问规则(leipv6access-liststandard<name>noipv6access-liststandard<name>IPv6除此命名标准IPv6列表。安全功能操作1章ACL配置c)IPv6列表配置模式2.配置滤功能(1)全局打开滤功能1-16命令解释全局配置模式firewallenable全局打开 滤功能。命令解释名扩展IPv6 列表配置模式exit名扩展IPv6 安全功能操作1章ACL配置c)IPv6列表配置模式2.配置滤功能(1)全局打开滤功能1-16命令解释全局配置模式firewallenable全局打开 滤功能。命令解释名扩展IPv6 列表配置模式exit名扩展IPv6 配置模式。[no]{deny|permit}tcp{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{<dIPv6Prefix/dPrefixlen>|any-destination|{host-destination<dIPv6Addr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][syn|ack|urg|rst|fin|psh][dscp<dscp>][flow-label<fl>][time-range<time-range-name>]tcpIPv6规则(rle;本命令的no操作为删除此命名扩展IP6规则(l[no]{deny|permit}udp{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{<dIPv6Prefix/dPrefixlen>|any-destination|{host-destination<dIPv6Addr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][dscp<dscp>][flow-label<fl>][time-range<time-range-name>]IPv6规则(rle;本命令的no操作为删除此命名扩展IP6规则(l[no] {deny | permit} <proto>{<sIPv6Prefix/sPrefixlen> | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]创建一条匹配其他特定IPv6列表不存在则创建此列表。[no]{deny|permit}{<sIPv6Prefix/sPrefixlen>|any-source | {host-source {<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]IPv6(lo问规则(le安全功能操作1章ACL配置3.配置时间范围功能(1)创建时间范围名称(2)配置周期性时段1-17命令解释时间范围模式absolute-periodic {Monday Tuesday|Wednesday安全功能操作1章ACL配置3.配置时间范围功能(1)创建时间范围名称(2)配置周期性时段1-17命令解释时间范围模式absolute-periodic {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<start_time> to {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<endtime>配置一周内的各种不同要求的时间范围,每周都循环这个时间periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays|weekend} <start_time> <end_time>[no]absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<start_time> to {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<endtime>停止一周内的时间范围配置命令解释全局配置模式time-range<time_range_name>time_range_name的时间范围名no time-range<time_range_name>的时间范围功能firewalldisable全局关闭 滤功能。安全功能操作1章ACL配置(3)配置绝对性时段4.将accessl-list绑定到特定端口的特定方向5.清空指定接口的滤统计信息1.3ACL举例1:1-18命令解释用户模式clear access-group (in | statistic { <interface-name> | ethernet<interface-name>}在指定端口清除出口或 方向 滤统计信息。命令安全功能操作1章ACL配置(3)配置绝对性时段4.将accessl-list绑定到特定端口的特定方向5.清空指定接口的滤统计信息1.3ACL举例1:1-18命令解释用户模式clear access-group (in | statistic { <interface-name> | ethernet<interface-name>}在指定端口清除出口或 方向 滤统计信息。命令解释物理接口配置模式/Vlan接口模式{ip|ipv6|mac|mac-ip}access-group<acl-name>{in|out}[traffic-statistic]no {ip|ipv6|mac|mac-ip}access-group<acl-name>{in|out}物理接口模式:在端口的或出口方向上应no操作为删除绑定在端口。命令解释全局配置模式absolute start <start_time><start_data> [end <end_time><end_data>]创建一个绝对时间范围[no]absolutestart<start_time><start_data> [end <end_time><enddata>]停止一个绝对时间范围功能[no] periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays|weekend} <start_time> <end_time>安全功能操作1章ACL配置ftp。配置更改:1.2.3.ACL配置滤功能ACL安全功能操作1章ACL配置ftp。配置更改:1.2.3.ACL配置滤功能ACL到端口配置步骤如下:Switch(config)#access-list110denytcp55any-destinationd-port21Switch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#ipaccess-group110inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果:Switch#showfirewallFirewallStatus:Enable.FirewallDefaultRule:Permit.Switch#showaccess-listsaccess-list110(used1time(s))1rule(s)access-list110denytcp55any-destinationd-port21Switch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10IPIngressaccess-listusedis110,traffic-statisticsDisable.2:10不配置更改:MACACL转发源MAC00-12-11-23-X2滤功能配置步骤如下:Switch(config)#access-list1100 deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macuntagged-802-3Switch(config)# access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff tagged-802Switch(config)#firewallenable1-19安全功能操作1章ACL配置Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#macaccess-group1100inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果:Switch#showfirewallFirewallStatus:安全功能操作1章ACL配置Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#macaccess-group1100inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果:Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-listsaccess-list1100(used1time(s))access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macuntagged-802-3access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MACIngressaccess-listusedis1100,traffic-statisticsDisable.3:10连接的网段的MAC地址是00-12-11-23-X,一台主机。配置更改:ping此网段的任何1.2.3.ACL配置滤功能ACL到端口配置步骤如下:Switch(config)#access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-mactcp55any-destinationd-port21Switch(config)#access-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet1/0/10)#exitSwitch(config)#exit1-20安全功能操作1章ACL配置配置结果:Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-lists安全功能操作1章ACL配置配置结果:Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-listsaccess-list3110(used1time(s))access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-mactcp55any-destinationd-port21access-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MAC-IPIngressaccess-listusedis3110,traffic-statisticsDisable.4:00端口连接的网段是IPV2003:/46/0网段用户配置更改:ACL。2滤功能配置步骤如下:Switch(config)#ipv6access-list600permit2003:1:1:1:66::0/80any-destinationSwitch(config)#ipv6access-list600deny2003:1:1:1::0/64any-destinationSwitch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#ipv6access-group600inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果:Switch#showfirewallFirewallStatus:Enable.1-21安全功能操作1章ACL配置Switch#showipv6access-listsIpv6access-list600(used安全功能操作1章ACL配置Switch#showipv6access-listsIpv6access-list600(used1time(s))ipv6access-list600deny2003:1:1:1::0/64any-sourceipv6access-list600permit2003:1:1:1:66::0/80any-sourceSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10IPv6Ingressaccess-listusedis600,traffic-statisticsDisable.5:的设备接入到这几个端口。配置更改:ACL滤功能配置步骤如下:Switch(config)#firewallenableSwitch(config)#vlan100Switch(Config-Vlan100)#switchportinterfaceethernet1/0/1;2;5;7Switch(Config-Vlan100)#exitSwitch(config)#access-list1denyhost-sourceSwitch(config)#interfaceethernet1/0/1;2;5;7Switch(config-if-port-range)#ipaccess-group1inSwitch(Config-if-Vlan100)#exit配置结果:Switch(config)#showaccess-groupinterfacevlan100InterfaceVLAN100:Ethernet1/0/7:IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.1.4ACL排错帮助 束。 每个端口ACLIPACLMACACLIPV61-22安全功能操作1章ACL配置Vlan接口配置模式。果优先级相同,则先配置的优先级高:安全功能操作1章ACL配置Vlan接口配置模式。果优先级相同,则先配置的优先级高:端口可以IPv6ACLACLMACACLACLACL的内容以及硬件限制。access-list中包括过滤信息相同但动作的规则,则其无法绑定到端口并将有permittcpany-sourceany-destination及denytcpany-sourceany-destination。ICMP报文通过以防止“冲击波”等。1-23安全功能操作2章802.1x配置第2802.1x配置2.1802.1x介绍802.lx协议是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网设备(如LANSwitch),就可以 局域网中的设备或 。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以以实现用户级的接入,802.lx安全功能操作2章802.1x配置第2802.1x配置2.1802.1x介绍802.lx协议是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网设备(如LANSwitch),就可以 局域网中的设备或 。这在早期企业网有线L
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 餐饮服务承揽合同三篇
- 管道行业安全管理工作心得
- 2025年全球及中国丙二醛行业头部企业市场占有率及排名调研报告
- 2025年全球及中国头发护理用神经酰胺行业头部企业市场占有率及排名调研报告
- 2025年全球及中国DHA微囊粉行业头部企业市场占有率及排名调研报告
- 2025年全球及中国三维足底扫描系统行业头部企业市场占有率及排名调研报告
- 2025-2030全球电动跨式堆垛机行业调研及趋势分析报告
- 2025年全球及中国介孔二氧化硅微球行业头部企业市场占有率及排名调研报告
- 2025年全球及中国多相真空萃取机行业头部企业市场占有率及排名调研报告
- 2025-2030全球豆荚酒店行业调研及趋势分析报告
- 2025年春季学期学校德育工作计划安排表(完整版)
- 2025年有机肥行业发展趋势分析报告
- 五年级口算题卡每天100题带答案
- 2024年全国初中数学联合竞赛试题参考答案及评分标准
- Hadoop大数据开发实例教程高职PPT完整全套教学课件
- 企业中层管理人员测评问题
- 人教版高中地理必修一全册测试题(16份含答案)
- 《民航服务沟通技巧》教案第11课孕妇旅客服务沟通
- 新东方四级词汇-正序版
- 面向机器人柔顺操作的力位精准控制方法研究共3篇
- 《地下工程测试技术》课程教学大纲
评论
0/150
提交评论