目 录
第1章 ACL配置 ................................................................................. 1-1
1.1 ACL介绍 ..................................................................................................... 1-1
1.1.1 Access-list ............................................................................................................ 1-1 1.1.2 Access-group ....................................................................................................... 1-1 1.1.3 Access-list动作及全局默认动作 ....................................................................... 1-1
1.2 ACL配置 ..................................................................................................... 1-2 1.3 ACL举例 ................................................................................................... 1-16 1.4 ACL排错帮助 ........................................................................................... 1-21
第2章 802.1x配置 ................................................................................ 23
2.1 802.1x介绍 .................................................................................................... 23 2.2 802.1x配置 .................................................................................................... 24 2.3 802.1x应用举例 ............................................................................................ 27 2.4 802.1x排错帮助 ............................................................................................ 28
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1
第1章 ACL配置
1.1 ACL介绍
ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。
1.1.1 Access-list
Access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准,access-list可以有如下分类:
?
根据过滤信息:ip access-list,ipv6 access-list(三层以上信息),mac access-list(二层信息),mac-ip access-list(二层以上信息)。
? 根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加
细致过滤信息。
? 根据命名方式:数字(numbered)和命名(named)。 对一条ACL的说明应当从这三个方面加以描述。
1.1.2 Access-group
当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器,以便统计流经端口的符合ACL规则数据包的数量。
1.1.3 Access-list动作及全局默认动作
Access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过(deny)。具体有如下:
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-1
? 在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则(rule)
开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。
? 全局默认动作只对端口入口方向的数据流量有效。对出口的所有数据包,其默认转发动
作均为允许通过(permit)。
? 只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会
匹配入口的全局的默认动作。
? 当一条access-list被绑定到一个端口的出方向时,其规则(rule)的动作只能为拒绝通
过(deny)。
1.2 ACL配置
ACL配置任务序列如下: 1. 配置access-list
(1) 配置数字标准IP访问列表 (2) 配置数字扩展IP访问列表 (3) 配置命名标准IP访问列表
a) 创建一个命名标准IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 (4) 配置命名扩展IP访问列表
a) 创建一个命名扩展IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 (5) 配置数字标准MAC访问列表 (6) 配置数字扩展MAC访问列表 (7) 配置命名扩展MAC访问列表
a) 创建一个命名扩展MAC访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC访问表配置模式 (8) 配置数字扩展MAC-IP访问列表 (9) 配置命名扩展MAC-IP访问列表
a) 创建一个命名扩展MAC-IP访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC-IP访问表配置模式 (10) 配置数字标准IPV6访问列表 (11) 配置命名标准IPV6访问列表
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-2
a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 (12) 配置命名扩展IPV6访问列表
a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 2. 配置包过滤功能 (1)全局打开包过滤功能 (2)配置默认动作(default action) 3. 配置时间范围功能
(1) 创建时间范围名称 (2) 配置周期性时段 (3) 配置绝对性时段
4. 将accessl-list绑定到特定端口的特定方向 5. 清空指定接口的包过滤统计信息 1. 配置access-list
(1) 配置数字标准IP访问列表 命令 全局配置模式 解释 access-list
(2) 配置数字扩展IP访问列表 命令 全局配置模式 access-list
1-3
access-list
(3) 配置命名标准IP访问列表 a. 创建一个命名标准IP访问列表 命令 全局配置模式 ip access-list standard
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-4
解释 创建一条命名标准IP访问列表;本命令的no操作为删除此命名标准IP访问列表。 删除一条数字扩展IP访问列表。 | {host-source |