09_安全功能操作.pdfVIP

安全功能操作 目录 目 录 第 1 章 ACL配置 1-1 1.1 ACL介绍 1-1 1.1.1 Access-list 1-1 1.1.2 Access-group 1-1 1.1.3 Access-list动作及全局默认动作 1-1 1.2 ACL配置 1-2 1.3 ACL举例 1-8 1.4 ACL排错帮助 1-9 第 2 章 802.1x配置 2-1 2.1 802.1x介绍 2-1 2.1.1 802.1x认证体系结构 2-1 2.1.2 802.1x工作机制 2-2 2.1.3 EAPOL消息的封装 2-3 2.1.4 EAP属性的封装 2-4 2.1.5 802.1x认证方式 2-5 2.1.6 802.1x的扩展和优化 2-10 2.1.7 VLAN分配特性 2-11 2.2 802.1x配置 2-12 2.3 802.1x应用举例 2-15 2.3.1 Guest Vlan应用举例 2-15 2.3.2 IPv4 Radius应用举例 2-18 2.3.3 IPv6 Radius应用举例 2-19 2.4 802.1x排错帮助 2-20 1 安全功能操作 第 1 章 ACL 配置 第1章 ACL 配置 1.1 ACL 介绍 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定 的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以 基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包 所采取的动作：允许通过（permit）或拒绝通过（deny ）。用户可以把这些规则应用到特定 交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL 规则进出交换机。 1.1.1 Access-list Access-list是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括 了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、 源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，access-list可以有 如下分类： 根据过滤信息：ip access-list，ipv6 access-list （三层以上信息），mac access-list （二层信息），mac-ip access-list （二层以上信息）。 根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加 细致过滤信息。 根据命名方式：数字(numbered)和命名(named)。 对一条ACL 的说明应当从这三个方面加以描述。 1.1.2 Access-group 当用户按照实际需要制定了一组access-list之后，就可以把他们分别应用到不同端口的 不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系 的描述。当您建立了一条access-group之后，流经此端口此方向的所有数据包都会试图匹配 指定的access-list规则，