05访问控制列表
- 格式:ppt
- 大小:282.50 KB
- 文档页数:31


Quidway® NetEngine 16E/08E/05 路由器 产品概述
华为技术有限公司 数据通信产品部 1 Quidway® NetEngine 16E/08E/05 骨干路由器
Quidway® NetEngine 系列骨干路由器是华为系列路由器中的高端产品
NetEngine 系列骨干路由器在保持对业界先进技术密切跟踪的同时不断地提高产品的技术水平充分满足用户的业务需求
Quidway® NetEngine 高端路由器已在电信运营商以及政府教育企业用户市场的网络建设中获得了规模应用
NetEngine 16E NetEngine 08E NetEngine 05
产品外观
NE16E/08E/05路由器秉承华为公司数据通信产品的一贯特征配电
NE16E和NE08E路由器采用双主控路由交换单元结构HAUÍê³É·ÓÉÆ÷µÄÅäÖúÍ·ÓÉÐ-ÒéµÄ´¦Àí¹¦ÄÜVIUÍê³ÉËùÓеÄÐ-Òé´¦Àí
HAU与RSU配合使用内部总线桥接和告警监控等功能ALU·äÃùÆ÷¸æ¾¯
NE05路由器采用单主控路由交换单元结构而由路由交换热
插拔控制单元RSHC提供热插拔控制功能ALUÖ÷
ҪʵÏÖÕû¸ö²úÆ·¸æ¾¯ÐÅÏ¢µÄË«Ïò´«µÝÒÔ¼°ÏàÓ¦µÄָʾµÆ²¢Îª·çÉÈ¼à¿Ø°åÌṩ·çÉÈ¿ØÖƽӿÚÐźÅNE05与NE16E
产品特点
CPCI总线技术
采用新一代的工业标准cPCI总线技术
高可靠性
Quidway® NetEngine 16E/08E/05 路由器 产品概述
华为技术有限公司 数据通信产品部 2 主控板冗余设计N+1电源热备份双
CPCI总线实现了负荷分担和备份APS
VRRP协议保证了设备间的可靠性整机实现7x24小时的不间断运行
高性能的CPU配合自主知识产权的IP TurboEngine TM技术
增强型VIU处理能力高达400Kpps
5
配置
关于本章
主要包括基本业务管理配置内容。5.1 快速配置向导5.2 基本业务管理主要包括如下基本业务:接口配置、VLAN、DHCP、静态路由等。5.3 进阶业务管理主要包括如下基本业务:Voice VLAN、MAC地址管理、IP业务、线路环回检测、生成树协议、LLDP、IGMP Snooping等。5.4 安全业务管理主要包括如下安全业务:访问控制列表、用户接入控制、QoS配置、IP安全、风暴控制、端口隔离等。
5.1 快速配置向导
操作步骤l快速配置交换模式a.依次单击“配置 > 快速配置向导”,在“选择模式”选择“交换模式”,进入快速配置交换模式界面,如图5-1所示。E600 教育网系列交换机配置指南(Web网管)5 配置
文档版本 05 (2018-11-01)版权所有 © 华为技术有限公司54图5-1 快速配置交换模式
b.在“步骤2:配置连接下行设备的接口”下方,单击“添加”按钮,填写各配置项,单击完成配置。界面信息含义如表5-1所示。表5-1 配置连接下行设备的接口配置项说明接口名称选择连接下行设备的接口接口状态配置选中接口状态。lON:开启接口。lOFF:关闭接口。允许VLAN配置选中接口的缺省VLAN的编号。设备类型选择下行口连接的设备类型。lPC:链路类型为Access,允许的VLAN只能配置一个。l交换机:链路类型为Trunk,允许的VLAN可以配置多个。
说明完成配置后,可勾选相应的接口配置,点击“步骤2:配置连接下行设备的接口”下方的“删除”按钮,可以对配置进行删除。c.在“步骤3:配置连接上行网关的接口”下方,选中需要配置的接口。根据需要可在接口选择区域中执行以下操作:n单击接口图标选中单个或多个接口。n拖曳鼠标批量选中连续接口。界面信息含义如表5-2所示。E600 教育网系列交换机配置指南(Web网管)5 配置
文档版本 05 (2018-11-01)版权所有 © 华为技术有限公司55表5-2 配置连接上行网关的接口配置项说明接口状态配置选中接口状态。lON:开启接口。lOFF:关闭接口。链路聚合开启链路聚合功能。lON:开启链路聚合功能。lOFF:关闭链路聚合功能。链路聚合ID填写链路聚合ID。当“链路聚合”状态为“ON”时有效。允许VLAN指定链路聚合类型接口加入的VLAN。
1第五讲访问控制
罗守山
北京邮电大学计算机学院
2内容提要
♦1. 概述
♦2. 自主型安全(访问控制)模型
♦3 强制访问控制模型
♦4 基于角色的访问控制模型
♦5 访问控制中的安全策略与信任机制
3♦访问控制是安全服务的一个重要组成部分。
–所谓访问控制,就是通过某种途径显式地准许或限
制访问能力及范围,从而限制对关键资源的访问,
防止非法用户的侵入或者合法用户的不慎操作造成
破坏。
–国际标准化组织(ISO)在网络安全标准ISO7498-2
中定义了5种层次型安全服务,即:身份认证服务、
访问控制服务、数据保密服务、数据完整性服务和
不可否认服务,因此,访问控制是信息安全的一个
重要组成部分。
41.概述
访问控制系统一般包括:
1)主体(Subject):是可以对其它实体施加动作的主动
实体,简记为S。有时我们也称为用户(User)或访
问者(被授权使用计算机的人员),记为U。主体
的含义是广泛的,可以是用户所在的组织(称为用
户组)、用户本身,也可是用户使用的计算机终端、
卡机、手持终端(无线)等,甚至可以是应用服务
程序程序或进程;
2)客体(Object):被调用的程序或欲存取的数据访问,
是接受其他实体访问的被动实体, 简记为O。客体的
概念也很广泛,凡是可以被操作的信息、资源、对
象都可以认为是客体。在信息社会中,客体可以是
信息、文件、记录等的集合体,也可以是网路上的
硬件设施,无线通信中的终端,甚至一个客体可以
包含另外一个客体;
53)安全访问规则:用以确定一个主体是否对某个客
体拥有访问权力。是主体对客体的操作行为集
和约束条件集, 简记为KS。简单讲,控制策略
是主体对客体的访问规则集,这个规则集直接
定义了主体对可以的作用行为和客体对主体的
条件约束。访问策略体现了一种授权行为,也
就是客体对主体的权限允许,这种允许不超越
规则集,由其给出。
访问控制系统三个要素之间的行为关系见下图。
6♦可以使用三元组(S,O,P)来表示,其中S表示主
体,O表示客体,P表示许可。
ACL的使用
ACL的处理过程:
1 .它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)
2 .语句顺序
按照由上而下的顺序处理列表中的语句
3 .语句排序
处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4 .隐含拒绝
如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)
要点:
1 .ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理一因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2 .如果在语句结尾增加denyany的话可以看到拒绝记录
3 .CiscoACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:
编号方式
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号
一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。)
允许172.17.31.222通过,其他主机禁止
Cisco-3750(config)#access-list1(策略编号)(1-99、1300-1999)permithost172.17.31.222
禁止172.17.31.222通过,其他主机允许
Cisco-3750(config)#access-list1denyhost172.17.31.222
Cisco-3750(config)#access-list1permitany
允许172.17.31.0/24通过,其他主机禁止