操作手册安全功能操作

安全功能操作目录目录第1章ACL配置 1-1ACL安全功能操作目录目录第1章ACL配置 1-1ACL介绍 1-1Access-list 1-1Access-group 1-1Access-list动作及全局默认动作 1-1ACL配置 1-2ACL举例 1-18ACL排错帮助 1-22第2章802.1x配置 2-12.1802.1x介绍 2-12.1.1802.1x认证体系结构 2-12.1.2802.1x工作机制 2-2EAPOL消息的封装 2-3EAP属性的封装 2-42.1.5802.1x认证方式 2-52.1.6802.1x的扩展和优化 2-102.1.7VLAN分配特性 2-112.2802.1x配置 2-122.3802.1x应用举例 2-14GuestVlan应用举例 2-14802.1x与IPv4Radius应用举例 2-17802.1x与IPv6Radius应用举例 2-182.4802.1x排错帮助 2-19第3章端口、VLAN中MAC、IP数量限制功能配置 3-3.4端口、VLAN中MAC、IP数量限制功能简介 3-1端口、VLAN中MAC、IP数量限制功能配置任务序列 3-2端口、VLAN中MAC、IP数量限制功能典型案例 3-4端口、VLAN中MAC、IP数量限制功能排错帮助 3-4第4章AM功能操作配置 4-11安全功能操作目录AM功能简介 4-1AM功能配置任务序列 4-1AM功能典型案例 4-3安全功能操作目录AM功能简介 4-1AM功能配置任务序列 4-1AM功能典型案例 4-3AM功能排错帮助 4-3第5章TACACS+配置 5-1TACACS+简介 5-1TACACS+配置 5-1TACACS+典型案例 5-2TACACS+排错帮助 5-2第6章RADIUS配置 6-1RADIUS简介 6-1AAA与RADIUS简介 6-1RADIUS协议的报文结构 6-1RADIUS配置 6-3RADIUS典型案例 6-5IPv4Radius应用举例 6-5IPv6Radius应用举例 6-5RADIUS排错帮助 6-6第7章SSL配置 7-1SSL简介 7-1SSL基本原理 7-1SSL配置任务序列 7-2SSL典型案例 7-3SSL排错帮助 7-4第8章IPv6安全RA配置 8-1IPv6安全RA简介 8-1IPv6安全RA配置任务序列 8-1IPv6安全RA典型案例 8-2IPv6安全RA排错帮助 8-22安全功能操作目录第9章VLAN-ACL配置 9-1VLAN-ACL功能简介 9-1VLAN-ACL安全功能操作目录第9章VLAN-ACL配置 9-1VLAN-ACL功能简介 9-1VLAN-ACL功能配置任务序列 9-1VLAN-ACL功能配置案例 9-3VLAN-ACL排错帮助 9-4第10章MAB配置 10-1MAB介绍 10-1MAB基本配置 10-1MAB举例 10-3MAB排错帮助 10-611章PPPoE中间配置 11-1PPPoEIntermediateAgent介绍 11-1PPPoE简介 11-1PPPoEIA介绍 11-1PPPoEIntermediateAgent配置任务序列 11-5PPPoEIntermediateAgent典型应用 11-7PPPoEIntermediateAgent排错帮助 11-9第12章SAVI配置 12-1SAVI介绍 12-1SAVI配置 12-1SAVI典型应用 12-4SAVI排错帮助 12-6第13章WebPortal操作配置 13-1WebPortal认证功能简介 13-1WebPortal认证功能配置任务序列 13-1WebPortal认证功能典型案例 13-3WebPortal认证功能排错帮助 13-43安全功能操作1章ACL配置第1ACL配置1.1ACL介绍ACLAccessControlLists)是交换机实现的一种数据或拒绝特定进行安全功能操作1章ACL配置第1ACL配置1.1ACL介绍ACLAccessControlLists)是交换机实现的一种数据或拒绝特定进行所采取的动作： 交换机端口的换机。ACL规则进入交1.1.1Access-list(rule)rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、TCP端口、UDP端口等条件的有效组合。根据不同的标准，access-list可以有如下分类： （二层信息），mac-ipaccess-list（二层以上信息）。 (standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。 根据命名方式：数字(numbered)和命名(named)。ACL的说明应当从这三个方面加以描述。1.1.2Access-groupaccess-list之后，就可以把他们分别应用到不同端口的您建立了一条access-group之后，流经此端口此方向的所有数据包都会试图匹配指定的access-list规则，以决定交换动作是(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器，以便统计符合ACL规则数据包的数量。1.1.3Access-list动作及全局默认动作1-1安全功能操作1章ACL配置Access-list动作及默认动作分为两种或拒绝通过(deny) （rule），其后的规则（rule）不再进行匹配。全局默认动作只对端口方向的数据流量有效。 只有在 滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配的全局的默认动作。1.2ACL配置ACL配置任务序列如下：.(1)(2)(3)IPIPIP列表a)b)c)IP列表deny规则表项表配置模式)IP安全功能操作1章ACL配置Access-list动作及默认动作分为两种或拒绝通过(deny) （rule），其后的规则（rule）不再进行匹配。全局默认动作只对端口方向的数据流量有效。 只有在 滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配的全局的默认动作。1.2ACL配置ACL配置任务序列如下：.(1)(2)(3)IPIPIP列表a)b)c)IP列表deny规则表项表配置模式)IP列表a)b)c)IP列表deny规则表项表配置模式(5)(6)(7)配置数字标准MAC配置数字扩展MAC配置命名扩展MAC列表a)b)c)MAC列表deny规则表项MAC表配置模式MAC-IPMAC-IP列表列表a)b)c)(10)MAC-IP列表deny规则表项MAC-IP表配置模式IPv6列表列表列表IPv6IPv6)IPv6)deny规则表项c)IPv6表配置模式)IPv6列表1-2安全功能操作1章ACL配置a)b)c)2.配置IPv6列表deny规则表项IPv6滤功能表配置模式（1）全局打开滤功能（2）配置默认动作(defaultaction)创建时间范围名称配置周期性时段配置绝对性时段4.5.绑定到特定端口的特定方向滤统计信息1.(1)配置数字标准安全功能操作1章ACL配置a)b)c)2.配置IPv6列表deny规则表项IPv6滤功能表配置模式（1）全局打开滤功能（2）配置默认动作(defaultaction)创建时间范围名称配置周期性时段配置绝对性时段4.5.绑定到特定端口的特定方向滤统计信息1.(1)配置数字标准IP列表(2)配置数字扩展IP列表1-3命令解释全局配置模式access-list<num>{deny|permit}icmp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time-range<time-range-name>]ICMPIP访问列表，如果已有此列表，则增加一条规则（rule）表项。access-list<num>{deny|permit}igmp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>]IGMPIP访问列表，如果已有此列表，则增加一条规则（rule）表项。命令解释全局配置模式access-list<num>{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}noaccess-list<num>创建一条数字标准IP 如果已有此列表，则增加一条规则（rule）表项；本命令的no操作为删除一条数字标准IP 列表。安全功能操作1章ACL配置(3)IP列表a.IP列表b.permitdeny规则1-4命令解释命名标准IP 列表配置模式[no]{deny安全功能操作1章ACL配置(3)IP列表a.IP列表b.permitdeny规则1-4命令解释命名标准IP 列表配置模式[no]{deny|permit}{{<sIpAddr><sMask >} | any-source |{host-source<sIpAddr>}}创建一条命名标准IP 规（le本命令的no操作为删除此命名标准IP 规则（l命令解释全局配置模式ipaccess-liststandard<name>no ip access-list standard<name>创建一条命名标准IP 列表；本命令的no作为删除此命名标准IP 。access-list<num>{deny|permit}tcp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort>|range <dPortMin> [ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]创建一条TCP数字扩展IP列表，如果已有此 增加一条规则（rule）表项。access-list <num> {deny | permit} udp{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][precedence <prec>] <tos>][time-range<time-range-name>]UDP数字扩展IP列表，如果已有此 增加一条规则（rule）表项。access-list<num>{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-num>}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[precedence <prec>] <tos>][time-range<time-range-name>]IP协议或所有IP协议的数字扩展IP访问列表，如果已有此列表，则增加一条规则（rule）表项。noaccess-list<num>删除一条数字扩展IP 安全功能操作1章ACL配置c.命名标准IP列表配置模式(4)IP列表a.IP列表b.permitdeny规则1-5命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | 安全功能操作1章ACL配置c.命名标准IP列表配置模式(4)IP列表a.IP列表b.permitdeny规则1-5命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [<icmp-type> [precedence <prec>] <tos>][time-range<time-range-name>]icmpIP则（l本命令的o操作为删除此命名扩展IP 规则（l[no] {deny | permit} igmp {{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [<igmp-type>] [precedence<prec>] [tos<tos>][time-range<time-range-name>]创建一条igmp命名扩展IP则（l本命令的o操作为删除此命名扩展IP 规则（l[no]{deny|permit}tcp{{<sIpAddr><sMask>}| any-source | {host-source [s-port {<sPort> | range <sPortMax>}] {{<dIpAddr> <dMask>} any-destination | {host-destination<dIpAddr>}} [d-port {<dPort> | range<dPortMin> [ack+fin+psh+rst+urg+syn] [precedence<prec>] [tos<tos>][time-range<time-range-name>]规（lo除此命名扩展IP（l命令解释全局配置模式ipaccess-listextended<name>no ip access-list extended<name>创建一条命名扩展IP 列表；本命令的no作为删除此命名扩展IP 。命令解释命名标准IP 列表配置模式exit命名标准IP 配置模式。安全功能操作1章ACL配置c.命名扩展IP列表配置模式(5)配置数字标准MAC列表(6)配置数字扩展MAC列表1-6命令解释全局配置模式命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac>安全功能操作1章ACL配置c.命名扩展IP列表配置模式(5)配置数字标准MAC列表(6)配置数字扩展MAC列表1-6命令解释全局配置模式命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac><smac-mask>}}noaccess-list<num>mac列表，如果已有此列表，则增加一条规则（rule）表项；no操作为删除一条数字标准mac访问列表。命令解释命名扩展IP 列表配置模式exit命名扩展IP 配置模式。[no]{deny|permit}udp{{<sIpAddr><sMask>}| any-source | {host-source [s-port {<sPort> | range <sPortMax>}] {{<dIpAddr> <dMask>} any-destination | {host-destination<dIpAddr>}} [d-port {<dPort> | range<dPortMin> <dPortMax>}] [precedence<prec>] [tos<tos>][time-range<time-range-name>]创建一条udp命名扩展IP规（lo除此命名扩展IP（l[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-num>}{{<sIpAddr><sMask>} | any-source | {host-source<sIpAddr>}} {{<dIpAddr> <dMask>} any-destination | <dIpAddr>}} [precedence <prec>] [tos<tos>][time-range<time-range-name>]创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP规则；如果此编号数字扩展列表不存在则创建此列表。安全功能操作1章ACL配置(7)MAC列表a.MAC列表b.permitdeny规则表项1-7命令解释安全功能操作1章ACL配置(7)MAC列表a.MAC列表b.permitdeny规则表项1-7命令解释扩展MAC 列表配置模式命令解释全局配置模式mac-access-listextended<name>nomac-access-listextended<name>创建一条命名扩展MAC 列表；本命令的操作为删除此命名扩展MAC 列表。access-list <num> {deny|permit} {any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[{untagged-eth2|tagged-eth2|untagged-802-3|tagged-802-3}[<offset1><length1><value1>[<offset2><length2><value2>[<offset3><length3><value3>[<offset4><length4><value4>]]]]]noaccess-list<num>创建一条数字扩展mac列表，如果已有此列表，则增加一条令的no操作为删除一条数字扩展mac列表。安全功能操作1章ACL配置1-8[no]{deny|安全功能操作1章ACL配置1-8[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>} | {<dmac> <dmac-mask>}} [ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac |{host-destination-mac<host_dmac>} |{<dmac><dmac-mask>}}[vlanid<vid-value>[<vid-mask>][ethertype<protocol>[<protocol-mask>]]]创建一条匹配普通MAC帧名扩展MAC规则(rule)；no操作为删除此命名扩展MAC规则（rule）[no]{deny|permit}{any-source-mac|{host-source-mac<hostst-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[untagged-eth2[ethertype<protocol>[protocol-mask]]]创建一条匹配untagged以太网2帧类型 规则(rule)；no操作为删除此命名扩展MAC 规则（rule）[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[untagged-802-3]创建一条匹配untagged802.3帧类型名扩展MAC访问规则(rule)；no操作为删除此命名扩展MAC规则（rule）[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value> [<vid-mask>]] [ethertype<protocol>[<protocol-mask>]]]tagged2帧类型名扩展MAC规则(rule)；no操作为删除此命名扩展MAC访问规则（rule）安全功能操作1章ACL配置c.MAC表配置模式(8)配置数字扩展MAC-IP列表1-9命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac>安全功能操作1章ACL配置c.MAC表配置模式(8)配置数字扩展MAC-IP列表1-9命令解释全局配置模式access-list<num>{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}} icmp {{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination <destination-host-ip>}} [<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-ICMP数字扩展mac-ip列表，如果已有此访问列表，则增加一条规则（rule）表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} | {<dmac><dmac-mask>}}igmp {{<source><source-wildcard>}|any-source | {host-source {{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<igmp-type>][precedence <precedence>] [tos <tos>] <time-range-name>]创建一条MAC-IGMP数字扩展mac-ip列表，如果已有此访问列表，则增加一条规则（rule）表项。命令解释扩展MAC 列表配置模式exit命名扩展MAC 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-802-3[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]]]tagged802.3帧类型名扩展MAC规则此命名扩展MAC安全功能操作1章ACL配置1-10access-list<num>{deny安全功能操作1章ACL配置1-10access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} | {<dmac><dmac-mask>}}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port{<port1> | range <sPortMin> <sPortMax>}]{{<destination><destination-wildcard>}|any-destination| {host-destination <destination-host-ip>}} [d-port{<port3> | range <dPortMin> <dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-TCP数字扩展mac-ip列表，如果已有此访问列表，则增加一条规则（rule）表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}} udp {{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条MAC-UDP数字扩展mac-ip列表，如果已有此访问列表，则增加一条规则（rule）表项。access-list<num>{deny|permit}{any-source-mac|{host-source-mac <host_smac>} | {<smac><smac-mask>}} {any-destination-mac |{host-destination-mac <host_dmac>} |{<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source| {host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>] [tos <tos>] [time-range<time-range-name>]创建一条匹配其他特协议或所协议的数字扩展mac-ip列表，如果已有此列表，则增加一条规则（rule）表项。noaccess-list<num>删除一条数字扩展MAC-IP 列表。安全功能操作1章ACL配置(9)MAC-IP列表a.MAC-IP列表b.permitdeny规则表项命令解释安全功能操作1章ACL配置(9)MAC-IP列表a.MAC-IP列表b.permitdeny规则表项命令解释MAC-IP 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}icmp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条mac-icmp命名扩展MAC则（lo操作为删除此命名扩展MAC-IP 规则（l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>} | {<dmac> <dmac-mask>}} igmp{{<source> <source-wildcard>} | any-source |{host-source <source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination<destination-host-ip>}}[<igmp-type>][precedence <precedence>] [tos <tos>] <time-range-name>]创建一条mac-igmpMAC-IP访问规则（le；no操作为删除此命名扩规则（l命令解释全局配置模式mac-ip-access-listextended<name>nomac-ip-access-listextended<name>列表。安全功能操作1章ACL配置c.MAC-IP表配置模式1-12命令解释MAC-IP 列表配置模式[no]{deny安全功能操作1章ACL配置c.MAC-IP表配置模式1-12命令解释MAC-IP 列表配置模式[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}tcp{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin> <dPortMax>}] [precedence <precedence>] [tos <tos>] <time-range-name>]MAC-IP则（lo操作为删除此命名扩展MAC-IP 规则（l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination | {host-destination<destination-host-ip>}} [d-port {<port3> | range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]创建一条mac-udp命MAC-IP则（lo操作为删除此命名扩展MAC-IP 规则（l[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>} | {<smac> <smac-mask>}}{any-destination-mac | {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>} | any-source | {host-source<source-host-ip>}} {{<destination><destination-wildcard>} | any-destination |{host-destination <destination-host-ip>}} [precedence<precedence>] [tos <tos>] [time-range<time-range-name>]创建一条mac-ip其他协议类型名扩展MAC-IP 规则（lo操作为删除此命名扩展MAC-IP 规则（l安全功能操作1章ACL配置(10)IPv6列表(11)配置数字扩展IPv6列表1-13命令解释全局配置模式命令解释全局配置模式ipv6access-list<num>安全功能操作1章ACL配置(10)IPv6列表(11)配置数字扩展IPv6列表1-13命令解释全局配置模式命令解释全局配置模式ipv6access-list<num>{deny|permit}{{<sIPv6Addr><sPrefixlen>}|any-source | <sIpv6Addr>}}noipv6access-list<num>有此列表，则增加一条规则（rule）表IPv6列表。exit扩展MAC-IP 列表配置模式安全功能操作1章ACL配置)IPv6a)IPv6列表列表安全功能操作1章ACL配置)IPv6a)IPv6列表列表1-14命令解释全局配置模式ipv6access-list<num-ext>{deny|permit}icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination <dIPv6Addr>}} [<icmp-code>]] [dscp <dscp>] <fl>][time-range<time-range-name>]ipv6access-list<num-ext>{deny|permit}tcp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dIPv6Prefix/dPrefixlen>}|any-destination|{host-destination<dIPv6Addr>}}[dPort{<dPort>|range<dPortMin><dPortMax>}][syn|ack|urg|rst|fin|psh][dscp<dscp>][flow-label<flowlabel>][time-range<time-range-name>]ipv6access-list<num-ext>{deny|permit}udp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source<sIPv6Addr>}}[s-port{<sPort>|range <sPortMin> {{<dIPv6Prefix/dPrefixlen>} | any-destination |{host-destination<dIPv6Addr>}}[dPort{<dPort>|range<dPortMin><dPortMax>}][dscp<dscp>][flow-label<flowlabel>][time-range<time-range-name>]ipv6 access-list <num-ext> {deny | permit}<next-header> {<sIPv6Prefix/sPrefixlen> any-source | {host-source {<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]noipv6access-list<num>IPV6列表，如果已有此 列表，令的no操作为删除一条数字标准IP 列表。安全功能操作1章ACL配置b)permitdeny规则c)IPV6列表配置模式(13)IPv6a)IPv6列表列表permitdeny规则1-15命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>安全功能操作1章ACL配置b)permitdeny规则c)IPV6列表配置模式(13)IPv6a)IPv6列表列表permitdeny规则1-15命令解释命名扩展IP 列表配置模式[no] {deny | permit} icmp{{<sIPv6Prefix/sPrefixlen>} | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination <dIPv6Addr>}} [<icmp-code>]] [dscp <dscp>] <fl>][time-range<time-range-name>]创建一条icmp命名扩展IPv6规则（rle；本命令的no操作为删除此命名扩展IP6规则（l命令解释全局配置模式ipv6access-listextended<name>noipv6access-listextended<name>IPv6除此命名扩展IPv6列表。命令解释名标准IPv6 列表配置模式exit名标准IPv6 配置模式。命令解释命名标准IPv6 列表配置模式[no]{deny|permit}{{<sIPv6Prefix/sPrefixlen>}|any-source|{host-source<sIPv6Addr>}}IPv6（lo问规则（leipv6access-liststandard<name>noipv6access-liststandard<name>IPv6除此命名标准IPv6列表。安全功能操作1章ACL配置c)IPv6列表配置模式2.配置滤功能（1）全局打开滤功能1-16命令解释全局配置模式firewallenable全局打开 滤功能。命令解释名扩展IPv6 列表配置模式exit名扩展IPv6 安全功能操作1章ACL配置c)IPv6列表配置模式2.配置滤功能（1）全局打开滤功能1-16命令解释全局配置模式firewallenable全局打开 滤功能。命令解释名扩展IPv6 列表配置模式exit名扩展IPv6 配置模式。[no]{deny|permit}tcp{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{<dIPv6Prefix/dPrefixlen>|any-destination|{host-destination<dIPv6Addr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][syn|ack|urg|rst|fin|psh][dscp<dscp>][flow-label<fl>][time-range<time-range-name>]tcpIPv6规则（rle；本命令的no操作为删除此命名扩展IP6规则（l[no]{deny|permit}udp{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{<dIPv6Prefix/dPrefixlen>|any-destination|{host-destination<dIPv6Addr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][dscp<dscp>][flow-label<fl>][time-range<time-range-name>]IPv6规则（rle；本命令的no操作为删除此命名扩展IP6规则（l[no] {deny | permit} <proto>{<sIPv6Prefix/sPrefixlen> | any-source |{host-source <sIPv6Addr>}}{<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]创建一条匹配其他特定IPv6列表不存在则创建此列表。[no]{deny|permit}{<sIPv6Prefix/sPrefixlen>|any-source | {host-source {<dIPv6Prefix/dPrefixlen> | any-destination |{host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]IPv6（lo问规则（le安全功能操作1章ACL配置3.配置时间范围功能（1）创建时间范围名称（2）配置周期性时段1-17命令解释时间范围模式absolute-periodic {Monday Tuesday|Wednesday安全功能操作1章ACL配置3.配置时间范围功能（1）创建时间范围名称（2）配置周期性时段1-17命令解释时间范围模式absolute-periodic {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<start_time> to {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<endtime>配置一周内的各种不同要求的时间范围，每周都循环这个时间periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays|weekend} <start_time> <end_time>[no]absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<start_time> to {Monday Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<endtime>停止一周内的时间范围配置命令解释全局配置模式time-range<time_range_name>time_range_name的时间范围名no time-range<time_range_name>的时间范围功能firewalldisable全局关闭 滤功能。安全功能操作1章ACL配置（3）配置绝对性时段4.将accessl-list绑定到特定端口的特定方向5.清空指定接口的滤统计信息1.3ACL举例1：1-18命令解释用户模式clear access-group (in | statistic { <interface-name> | ethernet<interface-name>}在指定端口清除出口或 方向 滤统计信息。命令安全功能操作1章ACL配置（3）配置绝对性时段4.将accessl-list绑定到特定端口的特定方向5.清空指定接口的滤统计信息1.3ACL举例1：1-18命令解释用户模式clear access-group (in | statistic { <interface-name> | ethernet<interface-name>}在指定端口清除出口或 方向 滤统计信息。命令解释物理接口配置模式/Vlan接口模式{ip|ipv6|mac|mac-ip}access-group<acl-name>{in|out}[traffic-statistic]no {ip|ipv6|mac|mac-ip}access-group<acl-name>{in|out}物理接口模式：在端口的或出口方向上应no操作为删除绑定在端口。命令解释全局配置模式absolute start <start_time><start_data> [end <end_time><end_data>]创建一个绝对时间范围[no]absolutestart<start_time><start_data> [end <end_time><enddata>]停止一个绝对时间范围功能[no] periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays|weekend} <start_time> <end_time>安全功能操作1章ACL配置ftp。配置更改：1.2.3.ACL配置滤功能ACL安全功能操作1章ACL配置ftp。配置更改：1.2.3.ACL配置滤功能ACL到端口配置步骤如下：Switch(config)#access-list110denytcp55any-destinationd-port21Switch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#ipaccess-group110inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果：Switch#showfirewallFirewallStatus:Enable.FirewallDefaultRule:Permit.Switch#showaccess-listsaccess-list110(used1time(s))1rule(s)access-list110denytcp55any-destinationd-port21Switch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10IPIngressaccess-listusedis110,traffic-statisticsDisable.2：10不配置更改：MACACL转发源MAC00-12-11-23-X2滤功能配置步骤如下：Switch(config)#access-list1100 deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macuntagged-802-3Switch(config)# access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff tagged-802Switch(config)#firewallenable1-19安全功能操作1章ACL配置Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#macaccess-group1100inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果：Switch#showfirewallFirewallStatus:安全功能操作1章ACL配置Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#macaccess-group1100inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果：Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-listsaccess-list1100(used1time(s))access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macuntagged-802-3access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MACIngressaccess-listusedis1100,traffic-statisticsDisable.3：10连接的网段的MAC地址是00-12-11-23-X，一台主机。配置更改：ping此网段的任何1.2.3.ACL配置滤功能ACL到端口配置步骤如下：Switch(config)#access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-mactcp55any-destinationd-port21Switch(config)#access-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet1/0/10)#exitSwitch(config)#exit1-20安全功能操作1章ACL配置配置结果：Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-lists安全功能操作1章ACL配置配置结果：Switch#showfirewallFirewallStatus:Enable.Switch#showaccess-listsaccess-list3110(used1time(s))access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-mactcp55any-destinationd-port21access-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MAC-IPIngressaccess-listusedis3110,traffic-statisticsDisable.4：00端口连接的网段是IPV2003：/46/0网段用户配置更改：ACL。2滤功能配置步骤如下：Switch(config)#ipv6access-list600permit2003:1:1:1:66::0/80any-destinationSwitch(config)#ipv6access-list600deny2003:1:1:1::0/64any-destinationSwitch(config)#firewallenableSwitch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#ipv6access-group600inSwitch(Config-If-Ethernet1/0/10)#exitSwitch(config)#exit配置结果：Switch#showfirewallFirewallStatus:Enable.1-21安全功能操作1章ACL配置Switch#showipv6access-listsIpv6access-list600(used安全功能操作1章ACL配置Switch#showipv6access-listsIpv6access-list600(used1time(s))ipv6access-list600deny2003:1:1:1::0/64any-sourceipv6access-list600permit2003:1:1:1:66::0/80any-sourceSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10IPv6Ingressaccess-listusedis600,traffic-statisticsDisable.5：的设备接入到这几个端口。配置更改：ACL滤功能配置步骤如下：Switch(config)#firewallenableSwitch(config)#vlan100Switch(Config-Vlan100)#switchportinterfaceethernet1/0/1;2;5;7Switch(Config-Vlan100)#exitSwitch(config)#access-list1denyhost-sourceSwitch(config)#interfaceethernet1/0/1;2;5;7Switch(config-if-port-range)#ipaccess-group1inSwitch(Config-if-Vlan100)#exit配置结果：Switch(config)#showaccess-groupinterfacevlan100InterfaceVLAN100:Ethernet1/0/7:IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.IPIngressaccess-listusedis1,traffic-statisticsDisable.1.4ACL排错帮助 束。 每个端口ACLIPACLMACACLIPV61-22安全功能操作1章ACL配置Vlan接口配置模式。果优先级相同，则先配置的优先级高：安全功能操作1章ACL配置Vlan接口配置模式。果优先级相同，则先配置的优先级高：端口可以IPv6ACLACLMACACLACLACL的内容以及硬件限制。access-list中包括过滤信息相同但动作的规则，则其无法绑定到端口并将有permittcpany-sourceany-destination及denytcpany-sourceany-destination。ICMP报文通过以防止“冲击波”等。1-23安全功能操作2章802.1x配置第2802.1x配置2.1802.1x介绍802.lx协议是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网设备（如LANSwitch），就可以 局域网中的设备或 。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以以实现用户级的接入，802.lx安全功能操作2章802.1x配置第2802.1x配置2.1802.1x介绍802.lx协议是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网设备（如LANSwitch），就可以 局域网中的设备或 。这在早期企业网有线L