安全功能配置指南

wkhsw
2 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

本章描述的安全功能均只在S2126G/50G上支持，S2126S不支持。安全功能配置配置ACL80以PORTBitmap形式安装ACL配置安全端口上的安全地址配置DHCP动态绑定配置唯一合法性探测配置ACL80理解ACL80ACL80的应用ACL80的配置限制配置ACL80理解ACL80ACL80的含义是匹配报文的前80个字节，对报文进行过滤。报文是由系列的字节流组成，ACL80可以让用户对报文的前80个字节中的任意64个字节按比特（bit）位进行匹配过滤。一个典型的以太网II报文格式如下：bit0bit15bit31目的MAC（0－3字节）目的MAC（4－5字节）源MAC（0－2字节）源MAC（0－2字节）Tag控制头ID（=0x8100）802.1QTAG头以太网类型（如IP=0x0800）数据数据（46-1500字节）报文校验和80个字节配置是按照802.1Qtag报文格式进行匹配，也就说包含tag。a)80个字节的确立交换机所认为的80个字节，是从报文头第1个字节，即目的MAC地址开始，按顺序直到第80个字节。b)交换机如何匹配字段交换机对于任意一个16字节字段，可以按照bit形式与所设置的值进行比较或不比较。也就是说，它允许我们对这16个字节的任意一个比特设置该值为0或1。在对任何一个字节进行过滤时，有两个要素：一个是过滤规则，一个是过滤域模板，二者的bit位是一一对应的。过滤规则指明需要过滤字段值，过滤域模板指明过滤规则中对应字段是否需要过滤（1表示匹配对应过滤规则的bit位，0表示不匹配），所以当需要匹配某个bit时，必须将过滤域模板中对应的bit为设置为1。如果过滤域模板比特位设置为0，无论过滤规则中对应的bit位是什么，都不会匹配。c)交换机能真正处理的字节数只有64个：交换机只能对报文中从第1个字节到第80个字节中的64个字节处理，这64个字节必须是以16字节连续字段方式提取，交换机可分别对这4个16字节字段中的bit位进行任意的匹配。也就是说，报文80个字节等分为5个字段，每个字段16个字节，匹配时只能对这5个字段中的4个字段进行匹配，这5个字段可以从中任意选择4个字段进行匹配。如果需要匹配的bit分布在5个16字节字段中，则交换机无法匹配。注意：交换机只能对报文80个字节中的64个字节进行匹配。举例说明：过滤一个目的MAC为0x00d0f8000001，源MAC为0x00d0f8000002，vid为2的IP报文，则设置的过滤规则的如下：00d0f800000100d0f8000002000000020800…………………….目的MAC源MACtag头vidIP报文(数据)过滤域模板如下：ffffffffffffffffffffffff00000fffffff…………………….目的MAC源MACtag头vidIP报文(数据)a)ACL80的应用ARP应用：ARP请求、ARP回答b)ICMP应用：ICMPECHO/ECHOReply，以及type=0-255/code=0-255c)IGMP应用：所有的IGMP报文，或根据IGMPtype(0-255)/code(=0-255)值指定的IGMP应用d)IPMC组播应用：比如IP地址为224.0.0.0/掩码为224.0.0.0的IPMC组播数据流或其指定某个特定组播IP地址的应用，如239.1.1.1。e)二层多播应用：比如MAC地址为01005e000000/掩码为ffffff000000的二层多播流，或MAC地址为某个特定地址的多播流，如01005e010101。f)UDP类应用：所有的UDP应用，或指定的UDP端口(0-65535)g)TCP类应用：所有的TCP应用，或指定的TCP端口(0-65535)h)c-h的指定对像(以IP地址表示)提供的应用：比如192.168.3.2提供的HTTP应用i)以下特征或特征组合的报文：1.支持协议的字段：a)arp：(以太网长度类型字段第16-17，len=2,value=0x0806)i.硬件类型18-19,len=2ii.协议类型20-21，len=2iii.硬件地址长度22，len=1iv.协议地址长度23,len=1v.类型字段24,len=2vi.发送者的硬件地址25-30,len=6vii.发送的协议地址31-34,len=4b)IP：(以太网长度类型字段从16-17字节，len=2,value=0x0800)i.版本号18,len=2ii.TOS19,len=1iii.长度字段20-21,len=2iv.ID22-23,len=2v.分片字段24,len=1vi.偏移字段25,len=1vii.TTL26,len=1viii.协议字段27,len=1ix.源IP地址30-33,len=4x.目的IP地址34-37,len=4xi.选项字段c)TCP：(IP报文协议字段第27字节，len=1,value=6)i.源端口38-39,len=2ii.目的端口40-41,len=2iii.标志字段55,len=1d)UDP：(IP报文协议字段第27字节，len=1,value=17)i.源端口38-39,len=2ii.目的端口40-41,len=2iii.长度42-43,len=2e)ICMP：(IP报文协议字段第27字节，len=1,value=1)i.Type38,len=1ii.Code39,len=1f)IGMP：(IP报文协议字段第27字节，len=1,value=2)i.Type38,len=1ii.Code39,len=1iii.组地址42-45,len=4g)HTTP：(TCP报文源端口字段从38-39字节或目的端口字段从40-41字节,len=2,value=80)i.Fieldnameii.Fieldvalueiii.Fieldcontenets(不能超过报文第80个字节)h)其它协议(telnet/smtp…)的内容值：目前暂不提供ACL80的配置限制ACL80不支持QoS，包括两个方面：1．ClassMap不能关联ACL802．ACL80不会和QoSACL合并。当QoS和ACL80共同运用到一个接口时，二者各自起作用，后安装的优先级高。两者可能产生冲突，配置时要注意。配置ACL80以下是您在特权模式下配置ACL80个字节的过程:命令含义步骤1configureterminal进入配置模式步骤2expertAccess-listadvancedaclname用数字或名字来定义一条expertIPACL并进入高级access-list配置模式。步骤3{deny|permit}rule_stringrule_mask在高级access-list配置模式，申明一个或多个的允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发或还是丢弃。Rule_string：过滤规则Rule_mask：过滤域掩码步骤4exit退回到配置模式步骤5interfaceinterface-id指定一个接口并进入接口配置模式。步骤6expertaccess-groupaclnamein将指定的ACL应用于该接口上步骤7end回到特权模式步骤8showrunning-config验证配置步骤9copyrunning-configstartup-config保存配置你可以用命令noexpertAccess-listadvancedaclname解除配置的ACL。目前锐捷网络的交换机只支持一个接口关联一个ACL（包括ACL80），如果接口已经安装ACL，然后再安装新的ACL，则新的ACL会替换旧的ACL，旧的ACL自动解除与该接口的关联。举例说明如何配置ACL80，还是以前面提到的例子来说明：设置一个ACL80，禁止目的MAC为0x00d0f8000001，源MAC为0x00d0f8000002，vid为2的IP报文，但允许其它任何报文，将该ACL应用到端口1，则设置如下：Switch(config)#expertaccess-listadvancedacl80_1Switch(config-exp-dacl)#deny00d0f800000100d0f8000002000000020800ffffffffffffffffffffffff00000fffffffSwitch(config-exp-dacl)#permit00Switch(config-exp-dacl)#exitSwitch(config)#intf0/1Switch(config-if)#expertaccess-groupacl80_1inSwitch(config-if)#endSwitch#Switch#shaccess-listsAdvanceaccesslist:acl80_1deny00d0f800000100d0f80000020000000208000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000ffffffffffffffffffffffff00000fffffff0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000permit00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000Switch#shaccess-groupInterfaceinboundaccess-listoutboundaccess-list--------------------------------------------------------------------------Fa0/1acl80_1您也可以以端口位图形式将ACL关联到接口，详细参见“以PORTBitmap形式配置ACL”。1．Ace的过滤域和模板完整的情况下输入是80个字节（界面输入是160个字符），如果后续没有输入，缺省认为是0；但如果您要匹配报文中间和后面的字节，则前导0必须输入，这样才能对应报文中正确的位置。2．Permit/deny00相当于permit/denyanyany，ACL80在没有配置permit/deny00的情况下，昀后一条缺省（隐含的）ace是deny00。以PORTBitmap形式安装ACL理解portbitmap端口位图形式配置限制以端口位图形式安装ACL步骤理解portbitmapPortBitmap的含义是端口位图。您可以在config模式下配置ACL的端口位图，表示将ACL安装到这些端口。端口位图配置方式的输入形式是interfacerange形式，详细配置过程参见以端口位图形式安装ACL步骤。端口位图形式配置ACL的优点是在配置多个端口时，方便，快捷。在端口处于同一个端口区间时，还可以达到节约硬件表项的目的。端口区间：21系列从端口1开始，每8个10/100M端口是一个端口区间，每个动态模块所对应的端口是一个端口区间。如1-8、9-16、17-