09_安全功能操作

安全功能操作目录目录第1章ACL配置..................................................................................1-11.1ACL介绍......................................................................................................1-11.1.1Access-list............................................................................................................1-11.1.2Access-group.......................................................................................................1-11.1.3Access-list动作及全局默认动作........................................................................1-11.2ACL配置......................................................................................................1-21.3ACL举例......................................................................................................1-81.4ACL排错帮助..............................................................................................1-9第2章802.1x配置...............................................................................2-12.1802.1x介绍...................................................................................................2-12.1.1802.1x认证体系结构...........................................................................................2-12.1.2802.1x工作机制...................................................................................................2-22.1.3EAPOL消息的封装............................................................................................2-32.1.4EAP属性的封装..................................................................................................2-42.1.5802.1x认证方式...................................................................................................2-52.1.6802.1x的扩展和优化.........................................................................................2-102.1.7VLAN分配特性.................................................................................................2-112.2802.1x配置.................................................................................................2-122.3802.1x应用举例.........................................................................................2-152.3.1GuestVlan应用举例.........................................................................................2-152.3.2IPv4Radius应用举例.......................................................................................2-182.3.3IPv6Radius应用举例.......................................................................................2-192.4802.1x排错帮助.........................................................................................2-201安全功能操作第1章ACL配置ACL配置第1章1.11.1.11.1.21.1.3ACL介绍ACL(AccessControlLists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。Access-listAccess-list是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，access-list可以有如下分类：z根据过滤信息：ipaccess-list，ipv6access-list（三层以上信息），macaccess-list（二层信息），mac-ipaccess-list（二层以上信息）。z根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。z根据命名方式：数字(numbered)和命名(named)。对一条ACL的说明应当从这三个方面加以描述。Access-group当用户按照实际需要制定了一组access-list之后，就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后，流经此端口此方向的所有数据包都会试图匹配指定的access-list规则，以决定交换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器，以便统计流经端口的符合ACL规则数据包的数量。Access-list动作及全局默认动作Access-list动作及默认动作分为两种：允许通过(permit)或拒绝通过(deny)。具体有如下：z在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配。1-1安全功能操作第1章ACL配置z全局默认动作只对端口入口方向的数据流量有效。对出口的所有数据包，其默认转发动作均为允许通过(permit)。z只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。z当一条access-list被绑定到一个端口的出方向时，其规则（rule）的动作只能为拒绝通过（deny）。1.2ACL配置ACL配置任务序列如下：1.配置access-list（1）配置数字标准IP访问列表（2）配置数字扩展IP访问列表（3）配置命名标准IP访问列表a)创建一个命名标准IP访问列表b)指定多条permit或deny规则表项c)退出访问表配置模式（4）配置命名扩展IP访问列表a)创建一个命名扩展IP访问列表b)指定多条permit或deny规则表项c)退出访问表配置模式2.配置包过滤功能（1）全局打开包过滤功能（2）配置默认动作(defaultaction)3.配置时间范围功能（1）创建时间范围名称（2）配置周期性时段（3）配置绝对性时段4.将accessl-list绑定到特定端口的特定方向5.清空指定接口的包过滤统计信息1.配置access-list（1）配置数字标准IP访问列表命令解释全局配置模式1-2安全功能操作第1章ACL配置access-listnum{deny|permit}{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}noaccess-listnum创建一条数字标准IP访问列表，如果已有此访问列表，则增加一条规则（rule）表项；本命令的no操作为删除一条数字标准IP访问列表。（2）配置数字扩展IP访问列表命令解释全局配置模式access-listnum{deny|permit}icmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[icmp-type[icmp-code]][precedenceprec][tostos][time-rangetime-range-name]创建一条icmp数字扩展IP访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}igmp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}{{dIpAddrdMask}|any-destination|{host-destinationdIpAddr}}[igmp-type][precedenceprec][tostos][time-rangetime-range-name]创建一条igmp数字扩展IP访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。access-listnum{deny|permit}tcp{{sIpAddrsMask}|any-source|{host-sourcesIpAddr}}[s-port{sPort|rangesPortMinsP