Switch(Config-Ethernet1/10)#ipv6 access-group 10 in Switch(Config-Ethernet1/10)#ex Switch(Config)#ex
配置结果: Switch#show firewall fire wall is enable
the default action of fire wall is permit
Switch#show access-lists Ipv6 access-list 10(used 1 time(s))
ipv6 access-list 10 deny 2003:1:1:1::0/64 any-source ipv6 access-list 10 permit 2003:1:1:1:66::0/80 any-source
Switch #show access-group interface name:Ethernet1/10 IPV6 Ingress access-list used is10. 案例5:
用户有以下配置需求:交换机的1,2,5,7端口属于Vlan100,管理员不希望IP地址为192.168.0.1的设备接入到这几个端口。 配置更改:
1.创建相应的ACL 2. 配置包过滤功能 3. 绑定ACL到端口 配置步骤如下:
Switch (config)#firewall enable Switch (config)#vlan 100
Switch (Config-Vlan100)#switchport interface ethernet 1/1;2;5;7 Switch (Config-Vlan100)#exit
Switch (config)#access-list 1 deny host-source 192.168.0.1 Switch (config)#interface vlan 100
Switch (Config-if-Vlan100)#ip access-group 1 in Switch (Config-if-Vlan100)#exit 配置结果:
Switch (config)#show access-group interface vlan 100
Interface VLAN 100:
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-20
Ethernet1/1: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/2: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/5: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/7: IP Ingress access-list used is 1, traffic-statistics Disable.
1.4 ACL排错帮助
? 对ACL中的表项的检查是自上而下的,只要匹配一条表项,对此ACL的检查就马上结
束。
? 端口特定方向上没有绑定ACL或没有任何ACL表项匹配时,才会使用默认规则。 ? 每个端口入口可以绑定一条MAC-IP ACL,一条IP ACL,一条MAC ACL和一条IPV6
ACL(通过物理接口配置模式或Vlan接口配置模式);
? 每个端口出口可以绑定一条MAC-IP ACL,一条IP ACL,一条MAC ACL和一条IPV6
ACL;
? 当同时绑定六条ACL且数据包同时匹配其中多条ACL时,优先关系从高到低如下,如
果优先级相同,则先配置的优先级高:
? 出口IPV6 ACL; ? 出口MAC-IP ACL; ? 出口MAC ACL ? 出口IP ACL ? 入口IPV6 ACL; ? 入口MAC-IP ACL ? 入口MAC ACL ? 入口 IP ACL
? 出口ACL只可以指定deny动作;
? 只在MASTER交换机上的接口支持绑定访问控制列表。
? 端口可以成功绑定的ACL数目取决于已绑定的ACL的内容以及硬件资源限制。
? 如果access-list中包括过滤信息相同但动作矛盾的规则,则其无法绑定到端口并将有
报错提示。例如同时配置permit tcp any-source any-destination及deny tcp any-source any-destination。
? 可以配置ACL拒绝某些ICMP报文通过以防止“冲击波”等病毒攻击。
? 如果物理接口的模式为Trunk,则该端口只能通过物理接口配置模式配置ACL。 ? 在物理接口配置模式下绑定的ACL只能在物理接口配置模式下取消,在Vlan接口配置
模式下绑定的ACL只能在Vlan接口模式下取消。
? 物理接口加入/移出Vlan时(Trunk口除外),该Vlan中配置的ACL将自动绑定/移除
该物理接口;如果目的Vlan中配置的ACL(通过Vlan接口配置模式配置)和该端口
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-21
原有的ACL配置(通过物理接口配置模式配置)冲突,将导致端口移动失败。 ? Vlan中无物理接口时(Trunk口除外),将删除ACL在Vlan中的配置,以后如果再有
物理端口移入Vlan,将无ACL应用于该物理接口。
? 端口模式转换:access->trunk,将取消通过Vlan接口配置模式绑定到该物理接口的
ACL;trunk->access,将Vlan 1接口配置的ACL绑定到该物理接口,如果绑定失败,端口模式转换将执行失败。
? 删除Vlan时,如果有ACL绑定到该Vlan,该ACL将从该Vlan包含的所有物理接口
移除,之后绑定Vlan 1 ACL(如果Vlan1配置有ACL),如果绑定Vlan1 ACL失败,删除Vlan将执行失败。
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
1-22
第2章 802.1x配置
2.1 802.1x介绍
IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是交换机设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问局域网内的资源;如果不能通过认证,则无法访问局域网内的资源,相当于在物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:交换机的一个物理端口仅连接一个终端设备(基于物理端口)。
802.1x的体系结构如下图:
图 2-1 802.1x体系结构
如上图所示IEEE 802.1x的体系结构中包括三个部分:
? Supplicant System,用户接入设备; ? Authenticator System,接入控制单元; ? Authentication Server System,认证服务器。
用户接入设备(PC)与接入控制单元(接入交换机)间运行 IEEE 802.1x定义的EAPOL协议;接入控制单元与认证服务器间同样运行 EAP 协议,EAP 报文中封装了认证数据,该协议报文承载在其他高层次协议报文中,如RADIUS,以便穿越复杂的网络到达认证服务器。
基于端口的网络接入控制将设备端为客户端提供服务的端口分为两个虚端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,用于传递EAP认证报文。受控端口在授权状态下处于连通状态,用于传递业务报文;受控端口在非授权状态下处于关闭状态,禁
版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
23
止传递任何报文。
在交换机的802.1x的应用环境中,交换机作为接入控制单元;用户接入设备即是带有802.1x客户端软件的设备;认证服务器一般驻留在运营商的AAA中心,采用Radius服务器。
针对应用环境中存在一个物理端口下挂接多个用户接入设备的情况,基于端口的802.1x认证不能区分各个用户接入设备,导致认证作用大打折扣。交换机实现了安全性和管理性更强的基于MAC地址的802.1x认证功能,对于同一物理端口下的用户接入设备,只有通过了认证的用户接入设备才能够接入网络,没有通过认证的用户接入设备不能接入网络。这样即使接入设备的一个物理端口下挂接多个终端,交换机仍然可以对每个用户接入设备进行单独认证和管理。
交换机最大认证用户数可以达到4000人,推荐使用认证用户数不超过2000人。
2.2 802.1x配置
802.1x配置任务序列如下: 1. 使能交换机的802.1x功能; 2. 接入控制单元的属性配置 1) 配置端口的授权状态
2) 配置端口的接入控制方式:基于MAC地址还是基于端口 3) 配置交换机802.1x的扩展功能
3. 与Supplicant (用户接入设备)相关的属性配置(可选) 4. 与RADIUS服务器相关的属性配置 1) 配置RADIUS认证密钥 2) 配置RADIUS服务器 3) 配置RADIUS服务的参数
1.使能交换机的802.1x功能 命令 全局配置模式 aaa enable no aaa enable aaa-accounting enable no aaa-accounting enable dot1x enable no dot1x enable 解释 使能交换机的AAA认证功能;本命令的no操作为关闭交换机的AAA认证功能。 使能交换机的计费功能;本命令的no操作为关闭交换机的计费功能。 使能交换机全局及端口的802.1x功能;本命令的no操作为关闭802.1x功能。 版权所有?2007,迈普(四川)通信技术有限公司,保留所有权利
24