MyPower 交换机操作手册09安全功能操作Word文件下载.docx
《MyPower 交换机操作手册09安全功能操作Word文件下载.docx》由会员分享,可在线阅读,更多相关《MyPower 交换机操作手册09安全功能操作Word文件下载.docx(32页珍藏版)》请在冰点文库上搜索。
Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。
根据不同的标准,access-list可以有如下分类:
●根据过滤信息:
ipaccess-list,ipv6access-list(三层以上信息),macaccess-list(二层信息),mac-ipaccess-list(二层以上信息)。
●根据配置的复杂程度:
标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。
●根据命名方式:
数字(numbered)和命名(named)。
对一条ACL的说明应当从这三个方面加以描述。
1.1.2Access-group
当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。
access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。
当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。
另外还可以在端口加上对ACL规则统计计数器,以便统计流经端口的符合ACL规则数据包的数量。
1.1.3Access-list动作及全局默认动作
Access-list动作及默认动作分为两种:
具体有如下:
●在一个access-list内,可以有多条规则(rule)。
对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。
●全局默认动作只对端口入口方向的数据流量有效。
对出口的所有数据包,其默认转发动作均为允许通过(permit)。
●只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。
●当一条access-list被绑定到一个端口的出方向时,其规则(rule)的动作只能为拒绝通过(deny)。
1.2ACL配置
ACL配置任务序列如下:
1.配置access-list
(1)配置数字标准IP访问列表
(2)配置数字扩展IP访问列表
(3)配置命名标准IP访问列表
a)创建一个命名标准IP访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
(4)配置命名扩展IP访问列表
a)创建一个命名扩展IP访问列表
(5)配置数字标准MAC访问列表
(6)配置数字扩展MAC访问列表
(7)配置命名扩展MAC访问列表
a)创建一个命名扩展MAC访问列表
c)退出MAC访问表配置模式
(8)配置数字扩展MAC-IP访问列表
(9)配置命名扩展MAC-IP访问列表
a)创建一个命名扩展MAC-IP访问列表
c)退出MAC-IP访问表配置模式
(10)配置数字标准IPV6访问列表
(11)配置命名标准IPV6访问列表
a)创建一个命名扩展IPV6访问列表
c)退出IPV6访问表配置模式
(12)配置命名扩展IPV6访问列表
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.配置时间范围功能
(1)创建时间范围名称
(2)配置周期性时段
(3)配置绝对性时段
4.将accessl-list绑定到特定端口的特定方向
5.清空指定接口的包过滤统计信息
命令
解释
全局配置模式
access-list<
num>
{deny|permit}{{<
sIpAddr>
<
sMask>
}|any-source|{host-source<
}}
noaccess-list<
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条规则(rule)表项;
本命令的no操作为删除一条数字标准IP访问列表。
{deny|permit}icmp{{<
}}{{<
dIpAddr>
dMask>
}|any-destination|{host-destination<
}}[<
icmp-type>
[<
icmp-code>
]][precedence<
prec>
][tos<
tos>
][time-range<
time-range-name>
]
创建一条icmp数字扩展IP访问规则;
如果此编号数字扩展访问列表不存在则创建此访问列表。
{deny|permit}igmp{{<
igmp-type>
][precedence<
创建一条igmp数字扩展IP访问规则;
{deny|permit}tcp{{<
}}[s-port<
sPort>
]{{<
}}[d-port<
dPort>
][ack+fin+psh+rst+urg+syn][precedence<
创建一条tcp数字扩展IP访问规则;
{deny|permit}udp{{<
创建一条udp数字扩展IP访问规则;
{deny|permit}{eigrp|gre|igrp|ipinip|ip|<
int>
}{{<
}}[precedence<
创建一条匹配其他特定IP协议或所有IP协议的数字扩展IP访问规则;
删除一条数字扩展IP访问列表。
a.创建一个命名标准IP访问列表
ipaccess-liststandard<
name>
noipaccess-liststandard<
创建一条命名标准IP访问列表;
本命令的no操作为删除此命名标准IP访问列表。
b.指定多条permit或deny规则
命名标准IP访问列表配置模式
[no]{deny|permit}{{<
sMask>
创建一条命名标准IP访问规则(rule);
本命令的no操作为删除此命名标准IP访问规则(rule)。
c.退出命名标准IP访问列表配置模式
Exit
退出命名标准IP访问列表配置模式。
a.创建一个命名扩展IP访问列表
ipaccess-listextended<
noipaccess-listextended<
创建一条命名扩展IP访问列表;
本命令的no操作为删除此命名扩展IP访问列表。
b.指定多条permit或deny规则
命名扩展IP访问列表配置模式
[no]{deny|permit}icmp{{<
创建一条icmp命名扩展IP访问规则(rule);
本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}igmp{{<
创建一条igmp命名扩展IP访问规则(rule);
[no]{deny|permit}tcp{{<
创建一条tcp命名扩展IP访问规则(rule);
[no]{deny|permit}udp{{<
创建一条udp命名扩展IP访问规则(rule);
[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|<
c.退出命名扩展IP访问列表配置模式
退出命名扩展IP访问列表配置模式。
{deny|permit}{any-source-mac|{host-source-mac<
host_smac>
}|{<
smac>
<
smac-mask>
创建一条数字标准mac访问列表,如果已有此访问列表,则增加一条规则(rule)表项;
本命令的no操作为删除一条数字标准mac访问列表。
{deny|permit}{any-source-mac|{host-source-mac<
}}{any-destination-mac|{host-destination-mac<
host_dmac>
dmac>
dmac-mask>
}}[{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3}[<
offset1>
length1>
value1>
offset2>
length2>
value2>
offset3>
length3>
value3>
offset4>
length4>
value4>
]]]]]
创建一条数字扩展mac访问列表,如果已有此访问列表,则增加一条规则(rule)表项;
本命令的no操作为删除一条数字扩展mac访问列表。
a.创建一个命名扩展MAC访问列表
Mac-access-listextended<
nomac-access-listextended<
创建一条命名扩展MAC访问列表;
本命令的no操作为删除此命名扩展MAC访问列表。
b.指定多条permit或deny规则表项
命名扩展MAC访问列表配置模式
[no]{deny|permit}{any-source-mac|{host-source-mac<
}}{any-destination-mac|{host-destination-mac<
}|{<
}}[cos<
cos-val>
cos-bitmask>
]][vlanId<
vid-value>
vid-mask>
]][ethertype<
protocol>
protocol-mask>
]]
创建一条匹配普通MAC帧的命名扩展MAC访问规则(rule);
no操作为删除此命名扩展MAC访问规则(rule)
[no]{deny|permit}{any-source-mac|{host-source-mac<
}}{any-destination-mac|{host-destination-mac<
}}[untagged-eth2[ethertype<
[protocol-mask]]]
创建一条匹配untagged以太网2帧类型的命名扩展MAC访问规则(rule);
}}[untagged-802-3]
创建一条匹配untagged802.3帧类型的MAC访问规则(rule);
}}[tagged-eth2[cos<
]][ethertype<
]]]
创建一条匹配tagged以太网2帧类型的MAC访问规则(rule);
}}{any-destination-mac|{host-destination-mac<
}}[tagged-802-3[cos<
创建一条匹配tagged802.3帧类型的MAC访问规则(rule);
no操作为删除此命名扩展MAC访问规则(rule)
c.退出MAC访问表配置模式
退出命名扩展MAC访问列表配置模式
access-list<
{deny|permit}{any-source-mac|{host-source-mac<
}}icmp{{<
source>
source-wildcard>
}|any-source|{host-source<
source-host-ip>
destination>
destination-wildcard>
}|any-destination|{host-destination<
destination-host-ip>
}}[<
precedence>
创建一条mac-icmp数字扩展mac-ip访问规则;
}}igmp{{<
time-range-nam