当前位置:文档之家 › MyPower 交换机操作手册_09_安全功能操作

MyPower 交换机操作手册_09_安全功能操作

  • 格式:doc
  • 大小:651.50 KB
  • 文档页数:29

下载文档原格式

  / 29

合集下载

迈普MyPower S4300千兆汇聚路由交换机配置手册V2.0_操作手册_13_网络时间及域名管理操作

迈普MyPower S4300千兆汇聚路由交换机配置手册V2.0_操作手册_13_网络时间及域名管理操作

目录第1章SNTP配置 (1)1.1 SNTP简介 (1)1.2 SNTP典型配置举例 (2)第2章NTP功能操作配置 (3)2.1 NTP功能简介 (3)2.2 NTP功能配置任务序列 (3)2.3 NTP功能典型案例 (6)2.4 NTP功能排错帮助 (7)第3章DNSv4/v6配置 (8)3.1 DNS简介 (8)3.2 DNSv4/v6配置任务序列 (9)3.3 DNS典型案例 (11)3.4 DNS排错帮助 (12)第1章SNTP配置1.1 SNTP简介NTP (the Network Time Protocol)协议广泛用于维持全球Internet中的计算机的时钟同步。

NTP协议可以估算封包在网络上的往返延迟外,还可独立地估算计算机时钟偏差,从而实现在网络上的高精准度计算机校时。

在大多数地方,根据同步源的特性和网络路径,NTP提供1~50ms的精度。

SNTP(Simple Network Time Protocol)是NTP协议的简化版本,除去了NTP复杂的算法。

SNTP 用于那些不需要完整NTP实现复杂性的主机,它是NTP的一个子集。

通常让局域网上的若干台主机通过因特网与其他的NTP主机同步时钟,接着再向局域网内其他客户端提供时间同步服务。

下图描画了一个NTP/SNTP的应用网络结构,其中SNTP主要工作在二级服务器和各种终端之间,主要是由于这些场景时间精度要求不高,而SNTP本身可以提供的时间精度(1-50ms)一般可以满足这些服务的应用。

图 1-1 NTP/SNTP 工作场景交换机实现了SNTP 的客户端,支持RFC2030描述的SNTP 客户端单播模式(unicast )的协议行为,不支持SNTP 客户端组播模式(multicast )和任播模式(anycast ),也不支持SNTP 服务器端功能。

1.2 SNTP 典型配置举例图 1-2 SNTP 典型配置在自治系统域内的所有交换机需要进行时间同步,时间同步是通过两台冗余的SNTP/NTP 服务器实现。

迈普交换机常用命令手册v

迈普交换机常用命令手册v

迈普常用命令手册V1.3目录2 配置命令................................2.1系统模式及切换2.2基础配置221 配置主机名 ................................2.2.2 配置账户.............................2.2.3 配置登陆.............................2.2.4 配置Vian ..................................................2.3配置端口2.3.1 双工速率.............................2.4 配置Track2.5 配置MSTP2.6 配置VRRP2.7 配置Trunk2.8 多接口link-aggregation2.9配置ACL2.10 配置路由2.10.1 静态路由...........................2.10.2 配置RIP ...............................................2.10.3 配置OSPF .............................................2.11 管理配置2.11.1 配置AAA ................................................2.11.2 配置端口镜像.........................2.11.3 文件管理...........................2.11.4 Logg ing ...................................................2.11.5 配置SNMP ..............................................2.11.6 配置NTP ...............................................3 迈普常用命令...............................3.1查找MP命令3.2常用命令3.2.1 查看信息.............................3.2.2 删除配置.............................3.2.3 查看配置文件..........................3.2.4 查看路由配置...........................3.2.5 查看路由表............................ 3.2.6 查看VRRP犬态........................3.2.7 查看二层接口信息.........................3.2.8 查看bfd信息 ...........................3.2.9 查看设备信息...........................查看用户信息........................概述本手册编写的目的是为了使分行管理员快速掌握迈普MP2900路由交换一体机的常用命令,为设备运维工作提供帮助和指导。

交换机设备安全操作规定

交换机设备安全操作规定

路由器/交换机设备安全操作规定背景随着计算机和互联网技术的发展,现代企业对于信息技术的应用越来越深入,网络设备的安全性直接关系到企业的信息安全。

路由器和交换机是企业网络的核心组成部分,其安全性的重要性不言而喻。

然而,在实际操作过程中,经常会因为一些简单的原因导致设备安全性的漏洞。

因此,为了保障网络的安全和稳定运行,制定一些路由器/交换机设备安全操作规定是非常必要的。

规定1.安全密码强度要求在设置设备的登录密码时,要求使用强密码,密码必须包括大小写字母、数字、特殊字符,并且长度不少于8个字符。

密码每个月需要更换一次。

2.关闭不必要的服务路由器/交换机设备通常提供了许多不必要的服务。

为了保证设备的安全性和稳定性,应关闭不需要的服务,只开启必要的服务。

3.及时升级固件硬件制造商会定期发布固件升级版本,这些升级主要是修复已知漏洞和增加新功能。

因此,要定期检查设备的固件版本,并及时升级固件,以保证设备的安全性和性能。

4.安装安全认证证书路由器/交换机设备通常可以配置VPN(Virtual Private Network)服务,VPN服务需要使用安全的认证方式来保证数据传输的安全性。

因此,要安装可信认证机构的认证证书,以保证VPN服务的安全性。

5.开启日志记录路由器/交换机设备通常都内置了日志记录功能,它可以记录设备的所有操作和事件。

开启日志记录功能,可以帮助管理员诊断设备问题和维护设备的安全性。

6.限制管理权限为了防止非授权用户恶意操作,建议为不同级别的用户分配不同的权限。

只有必要的管理员可以拥有超级管理员权限。

7.启用端口安全功能路由器/交换机设备通常提供端口安全功能,启用端口安全功能可以防止未授权设备连接到网络。

端口安全功能应该针对不同的端口进行不同的配置。

8.开启网络ACL服务开启网络访问控制列表(ACL)服务可以限制网络设备的访问、流量和协议,从而保障网络的安全性。

网络ACL服务应该定期进行检查,确保其安全性和有效性。

交换机安全技术操作规程范本

交换机安全技术操作规程范本

交换机安全技术操作规程范本一、概述本操作规程旨在确保交换机的安全使用和管理,保护网络安全和稳定运行。

所有使用或管理交换机的人员必须严格遵守规程的要求和执行,确保交换机始终处于安全状态。

二、交换机的物理安全1. 交换机应放置在专用机房或安全密闭的机柜内,不得随意搬动或移位。

2. 交换机所在的机房或机柜应保持清洁整洁,防止灰尘和杂物对交换机的影响。

3. 交换机的电源线应连接到可靠稳定的电源插座,避免插座过载或接线不牢造成电源问题。

4. 交换机的周边环境应保持适宜的温湿度,防止过热或过湿对交换机的影响。

5. 在进行日常维护或更换硬件时,必须确保交换机已断电并由专业人员操作。

三、交换机的管理安全1. 交换机的管理密码应采用强密码,并定期更改,且不得与其他系统或设备密码相同。

2. 交换机管理口应与其他接口隔离,并只允许授权人员使用。

3. 系统应启用登录失败锁定功能,对多次登录失败的账号进行自动锁定和报警。

4. 交换机应定期备份配置文件,并保存在安全可靠的地方,以便在需要时恢复配置。

5. 交换机的软件应及时进行安全更新,并定期审核安全补丁情况,确保系统安全漏洞的修复。

6. 交换机的远程管理功能应只在必要时才启用,并限制远程管理的IP地址范围。

7. 所有与交换机相关的操作应有完整的操作记录,包括操作人员、时间、操作内容等。

四、交换机的访问控制1. 交换机应启用基于MAC地址的入口策略,只允许授权的设备接入网络。

2. 对重要端口或敏感端口,应启用端口安全功能,限制MAC地址的绑定数量和关联关系。

3. 对外部网络的访问,应通过ACL(访问控制列表)进行过滤和限制。

4. 对交换机的远程管理访问应设置访问控制策略,限制来源IP 地址、端口和协议。

五、交换机的流量监控与异常处理1. 交换机应启用流量监控功能,对入/出口流量进行实时监控和分析。

2. 对流量异常、拥堵或非法访问,应及时报警,并进行相应的处理和调整。

3. 对网络攻击或异常流量攻击,应及时做好应急处理措施,防止蔓延和影响整个网络。

交换机端口安全功能配置

交换机端口安全功能配置

交换机端口安全配置步骤
步骤2.配置交换机端口的地址绑定
在主机上打开CMD命令窗口,执行ipconfig/all命令查 看IP和MAC地址信息。 Switch#configure terminal switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport port-security !开启交 换机的端口安全功能 Switch(config-if)#switchport port-secruity macaddress 0006.1bde.13b4 ip-address 172.16.1.55 !配置IP地址与 MAC地址的绑定 验证测试:查看交换机安全绑定配置 switch#show port-security address
交换机端口安全配置注意事项
1. 交换机端口安全功能只能在ACCESS接口进行配
置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
交换机端口安全配置
配置了交换机的端口安全功能后,当实际应用超出配置
的要求,将产生一个安全违例,产生安全违例的处理方 式有3种: Protect 当安全地址个数满后,安全端口将丢弃未知名地 址的包 Restrict 当违例产生时,将发送一个Trap通知。 Shutdown 当违例产生时,将关闭端口并发送一个Trap 通知。 当端口因违例而被关闭后,在全局配置模式下使用命令 errdisable recovery来将接口从错误状态恢复过来。
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接 2、配置交换机端口最大连接数限制 3、配置交换机端口地址绑定

MyPower 交换机操作手册_06_网络协议操作

MyPower 交换机操作手册_06_网络协议操作

版权所有 2007,迈普(四川)通信技术有限公司,保留所有权利1目 录第1章 L3转发配置 ··································································· 1-11.1 三层接口·············································································································· 1-11.1.1 三层接口介绍 ···························································································· 1-1 1.1.2 三层接口配置 ···························································································· 1-1 1.2 IP 配置 ················································································································· 1-2 1.2.1 IPv4、IPv6介绍 ························································································ 1-2 1.2.2 IP 配置 ······································································································· 1-31.2.2.1 IPv4地址配置 ················································································· 1-3 1.2.2.2 IPv6配置 ························································································ 1-4 1.2.3 IP 配置举例 ································································································ 1-81.2.3.1 IPv4典型案例 ················································································· 1-8 1.2.3.2 IPv6典型案例 ···············································································1-10 1.2.4 IPv6排错帮助··························································································1-13 1.3 IP 转发 ···············································································································1-14 1.1.1 IP 转发介绍 ······························································································1-14 1.1.2 IP 路由聚合配置 ······················································································1-14 1.4 URPF ·················································································································1-14 1.4.1 URPF 简介 ······························································································1-14 1.4.2 URPF 配置任务序列 ················································································1-15 1.4.3 URPF 排错帮助 ·······················································································1-16 1.5 ARP ····················································································································1-16 1.5.1 ARP 介绍 ·································································································1-16 1.5.2 ARP 配置 ·································································································1-16 1.5.3 ARP 转发排错帮助 ··················································································1-17第2章 DHCP 配置 ···································································· 2-12.1 DHCP 简介 ·········································································································· 2-1 2.2 DHCP 服务器配置 ······························································································· 2-2 2.3 DHCP 中继配置 ··································································································· 2-4 2.4 DHCP 配置举例 ··································································································· 2-6 2.5 DHCP 排错帮助 ··································································································· 2-9版权所有 2007,迈普(四川)通信技术有限公司,保留所有权利2第3章 SNTP 配置 ····································································· 3-13.1 SNTP 简介 ··········································································································· 3-1 3.2 SNTP 典型配置举例 ···························································································· 3-2第4章 防ARP 、ND 欺骗配置 ··················································· 4-14.1 概述 ····················································································································· 4-14.1.1 ARP 欺骗 ··································································································· 4-1 4.1.2交换机如何防ARP/ND 欺骗 ······································································ 4-1 4.2 防ARP 、ND 欺骗配置序列 ················································································ 4-2 4.3 防ARP 、ND 欺骗举例 ························································································ 4-3版权所有 2007,迈普(四川)通信技术有限公司,保留所有权利1-1第1章 L3转发配置交换机支持三层转发功能。

迈普MyPower S4300千兆汇聚路由交换机配置手册V2.0_操作手册_07_DHCP及相关操作

目录第1章DHCP配置 (1)1.1 DHCP介绍 (1)1.2 DHCP服务器配置 (2)1.3 DHCP中继配置 (4)1.4 DHCP配置举例 (6)1.5 DHCP排错帮助 (8)第2章DHCPv6配置 (9)2.1 DHCPv6简介 (9)2.2 DHCPv6服务器配置 (10)2.3 DHCPv6中继代理配置 (12)2.4 DHCPv6前缀代理服务器端配置 (12)2.5 DHCPv6前缀代理客户端配置 (14)2.6 DHCPv6配置举例 (15)2.7 DHCPv6排错帮助 (19)第3章DHCP option 82配置 (21)3.1 DHCP option 82介绍 (21)3.1.1 DHCP option 82报文结构 (21)3.1.2 option 82工作机制 (22)3.2 DHCP option 82的配置任务序列 (22)3.3 DHCP option 82应用举例 (24)3.4 DHCP option 82排错帮助 (26)第4章DHCP Snooping配置 (28)4.1 DHCP Snooping介绍 (28)4.2 DHCP Snooping的配置任务序列 (29)4.3 DHCP Snooping典型应用 (33)4.4 DHCP Snooping排错帮助 (34)4.4.1 监控和调试信息 (34)4.4.2 DHCP Snooping排错帮助 (34)第1章 DHCP 配置1.1 DHCP 介绍DHCP [RFC2131]是Dynamic Host Configuration Protocol 动态主机配置协议的简写,它能从地址池中把IP 地址动态分配给请求的主机,同时也能够提供其它网络配置参数,如缺省网关、DNS 服务器、域名和网络范围内主机映像文件的位置等。

DHCP 是BOOTP 协议功能的增强,与BOOTP 相比,DHCP 是主流技术,它不仅能为无盘工作站提供引导信息,而且在大型的网络中可以大大减轻网络管理员跟踪记录手工分配IP 地址的负担,同时也能减轻用户的配置任务和花费。

迈普交换机常用命令手册

迈普接换机时常使用下令脚册之阳早格格创做目录1、百般下令模式介绍及模式间切换要领21)一般用户模式22)特权用户模式23)齐部模式24)端心摆设模式32、接换机维护时常使用下令31)查看目前接换机的摆设疑息32)查看目前接换机端心的概括疑息33)查看目前接换机端心的POE状态44)查看目前接换机的MAC天点表的实质55)查看目前接换机的ARP映射表56)查看目前接换机的型号67)开开战关关接换机端心68)开开战关关接换机端心POE 功能69)摆设接换机端心的模式(access/hybrid/trunk)及归属VLAN.610)保存目前接换机摆设疑息711)沉开目前接换机73、现网中用到的接换机型号及心令71、百般下令模式介绍及模式间切换要领1)一般用户模式通过H3C AC(211.137.126.21)跳转到迈普接换机,输进用户名及心令后,默认加进“一般用户模式”,实止quit下令退出.2)特权用户模式正在一般用户模式下实止enable下令,输出心令后加进“特权用户模式”,实止disable下令退回到一般用户模式.证明:正在该模式不妨查看端心概括疑息、查看接换机摆设、查看接换机版原等,但是无法建改接换机摆设. 3)齐部模式正在特权模式下实止config terminal下令加进“齐部模式”,实止exit下令退回到特权模式下.备注:该模式不妨摆设接换机运止所需的齐部参数,但是无法实止TELNET支配.4)端心摆设模式正在齐部模式下大概者接心模式下实止interface下令(共时指定相映的接心典型、接心号),加进“端心摆设模式”,实止exit下令退回到齐部摆设模式.备注:正在该模式下,不妨对于端心举止摆设.如:树立端心典型、树立端心归属VLAN、开开大概关关端心POE功能等.2、接换机维护时常使用下令1)查看目前接换机的摆设疑息【下令】show running-config【下令模式】特权模式大概齐部模式【示例】2)查看目前接换机端心的概括疑息【下令】show inter ethernet status【下令模式】特权模式大概齐部模式【示例】3)查看目前接换机端心的POE状态【下令】showpower inline interface【下令模式】特权模式大概齐部模式【示例】4)查看目前接换机的MAC天点表的实质【下令】show mac-address-table【下令模式】特权模式大概齐部模式【示例】5)查看目前接换机的ARP映射表【下令】show arp【下令模式】特权模式大概齐部模式【示例】6)查看目前接换机的型号【下令】show version【下令模式】特权模式大概齐部模式【示例】7)开开战关关接换机端心【下令】开开/关关:shutdown/no shutdown【下令模式】端心摆设模式【举例】8)开开战关关接换机端心POE 功能【下令】开开/关关:power inline enable/no power inline enable【下令模式】端心摆设模式【备注】开开端心POE功能前,须正在“齐部模式”开开POE功能(power inline enable).【示例】9)摆设接换机端心的模式(access/hybrid/trunk)及归属VLAN.【下令】设定端心模式:switchport mode (access/hybrid/trunk)设定端心归属VLAN:Access模式下令(switchport access vlan81)设定端心归属VLAN:Trunk模式下令(switchport trunk allowed vlan 81-82)【下令模式】端心摆设模式【示例】10)保存目前接换机摆设疑息【下令】write【下令模式】齐部模式【示例】11)沉开目前接换机【下令】reload【下令模式】齐部模式【示例】3、现网中用到的接换机型号及心令现网中用到的接换机型号有三种,如下:1)汇散接换机:MyPower SM3900-24GEF2)POE接换机:SM3100-26TP、SM3100-9TP接换机心令暂时有三种版原,当天登录心令取近程登录心令相共:。

迈普交换机常用命令手册v

迈普常用命令手册V1.3目录1概述..................................................................................................................................... 2配置命令.............................................................................................................................2.1系统模式及切换2.2基础配置2.2.1配置主机名.............................................................................................................2.2.2配置账户.................................................................................................................2.2.3配置登陆.................................................................................................................2.2.4配置Vlan................................................................................................................2.3配置端口2.3.1双工速率.................................................................................................................2.4配置Track2.5配置MSTP2.6配置VRRP2.7配置Trunk2.8多接口link-aggregation2.9配置ACL2.10配置路由2.10.1静态路由.............................................................................................................2.10.2配置RIP .............................................................................................................2.10.3配置OSPF ..........................................................................................................2.11管理配置2.11.1配置AAA...........................................................................................................2.11.2配置端口镜像.....................................................................................................2.11.3文件管理.............................................................................................................2.11.4Logging ...................................................................................................................2.11.5配置SNMP.........................................................................................................2.11.6配置NTP ............................................................................................................ 3迈普常用命令.....................................................................................................................3.1查找MP命令3.2常用命令3.2.1查看信息.................................................................................................................3.2.2删除配置.................................................................................................................3.2.3查看配置文件.........................................................................................................3.2.4查看路由配置.........................................................................................................3.2.5查看路由表.............................................................................................................3.2.6查看VRRP状态 ....................................................................................................3.2.7查看二层接口信息.................................................................................................3.2.8查看bfd信息 .........................................................................................................3.2.9查看设备信息.........................................................................................................查看用户信息.....................................................................................................概述本手册编写的目的是为了使分行管理员快速掌握迈普MP2900路由交换一体机的常用命令,为设备运维工作提供帮助和指导。

迈普交换机配置

一. 基本配置进入特权模式:Switch> enSwitch#进入全局模式:Switch# config terminalSwitch(Config)#退出命令exit举例:Switch#exitSwitch>帮助命令help举例:Switch>help enable -- Enable Privileged mode e xit -- Exit telnet session时钟配置:时钟配置:clock set <HH:MM:SS> <YYYY/MM/DD>功能:设置系统日期和时钟。

参数:<HH:MM:SS >为当前时钟,HH 取值范围为0~23,MM 和SS 取值范围为0~59;< YYYY/MM/DD >为当前年、月和日,YYYY 取值范围为20 00~2035,MM 取值范围为1~12,DD 取值范围为1~31。

举例:设置交换机当前日期为2002 年8 月1 日23 时0分0 秒。

Switch# clock set 23:0:0 2002.8.1 相关命令:s how clock超时设置:超时设置:exec timeout <minutes >功能:设置退出特权用户配置模式超时时间。

参数:< minut e >为时间值,单位为分钟,取值范围为0~300。

命令模式:全局配置模式。

缺省情况:系统缺省为5 分钟。

使用指南:为确保交换机使用的安全性,防止非法用户的恶意操作,当特权用户在做完最后一项配置后,开始计时,到达设置时间值时,系统就自动退出特权用户配置模式。

数值为0 表示没有超时。

举例:设置交换机退出特权用户配置模式的超时时间为6 分钟。

Switch(Config)# exec timeout 6↵修改交换机的主机名修改交换机的主机名hostname XXX举例:设置提示符为Test。

Switch(Config)#hostname TestTest(config)#保存交换机配置的命令:write 保存交换机配置的命令:重启交换机的命令:重启交换机的命令:reload 恢复交换机更改语言命令:更改语言命令:language {chinese|english} 功能:设置显示的帮助信息的语言类型。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

版权所有2007,迈普(四川)通信技术有限公司,保留所有权利 1

目 录 第1章 ACL配置 ................................................................................. 1-1 1.1 ACL介绍 ..................................................................................................... 1-1 1.1.1 Access-list ............................................................................................................ 1-1 1.1.2 Access-group ....................................................................................................... 1-1 1.1.3 Access-list动作及全局默认动作 ....................................................................... 1-1

1.2 ACL配置 ..................................................................................................... 1-2 1.3 ACL举例 ................................................................................................... 1-16 1.4 ACL排错帮助 ........................................................................................... 1-21

第2章 802.1x配置 ................................................................................ 23 2.1 802.1x介绍 .................................................................................................... 23 2.2 802.1x配置 .................................................................................................... 24 2.3 802.1x应用举例 ............................................................................................ 27 2.4 802.1x排错帮助 ............................................................................................ 28 版权所有2007,迈普(四川)通信技术有限公司,保留所有权利 1-1

第1章 ACL配置 1.1 ACL介绍 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。

1.1.1 Access-list

Access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准,access-list可以有如下分类:  根据过滤信息:ip access-list,ipv6 access-list(三层以上信息),mac access-list(二层信息),mac-ip access-list(二层以上信息)。  根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。  根据命名方式:数字(numbered)和命名(named)。 对一条ACL的说明应当从这三个方面加以描述。

1.1.2 Access-group

当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器,以便统计流经端口的符合ACL规则数据包的数量。

1.1.3 Access-list动作及全局默认动作

Access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过(deny)。具体有如下: 版权所有2007,迈普(四川)通信技术有限公司,保留所有权利 1-2

 在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。  全局默认动作只对端口入口方向的数据流量有效。对出口的所有数据包,其默认转发动作均为允许通过(permit)。  只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。  当一条access-list被绑定到一个端口的出方向时,其规则(rule)的动作只能为拒绝通过(deny)。

1.2 ACL配置

ACL配置任务序列如下: 1. 配置access-list (1) 配置数字标准IP访问列表 (2) 配置数字扩展IP访问列表 (3) 配置命名标准IP访问列表 a) 创建一个命名标准IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 (4) 配置命名扩展IP访问列表 a) 创建一个命名扩展IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 (5) 配置数字标准MAC访问列表 (6) 配置数字扩展MAC访问列表 (7) 配置命名扩展MAC访问列表 a) 创建一个命名扩展MAC访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC访问表配置模式 (8) 配置数字扩展MAC-IP访问列表 (9) 配置命名扩展MAC-IP访问列表 a) 创建一个命名扩展MAC-IP访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC-IP访问表配置模式 (10) 配置数字标准IPV6访问列表 (11) 配置命名标准IPV6访问列表 版权所有2007,迈普(四川)通信技术有限公司,保留所有权利 1-3

a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 (12) 配置命名扩展IPV6访问列表 a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 2. 配置包过滤功能 (1)全局打开包过滤功能 (2)配置默认动作(default action) 3. 配置时间范围功能 (1) 创建时间范围名称 (2) 配置周期性时段 (3) 配置绝对性时段 4. 将accessl-list绑定到特定端口的特定方向 5. 清空指定接口的包过滤统计信息 1. 配置access-list

(1) 配置数字标准IP访问列表 命令 解释 全局配置模式 access-list {deny | permit} {{ } | any-source | {host-source }} no access-list

创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字标准IP访问列表。

(2) 配置数字扩展IP访问列表 命令 解释 全局配置模式 access-list {deny | permit} icmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [ []] [precedence ] [tos ][time-range]

创建一条icmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。