ImageVerifierCode 换一换
格式:PDF , 页数:250 ,大小:9.53MB ,
资源ID:11245062      下载积分:15 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/11245062.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(锐捷路由器RGOSTM用户配置指导手册(安全配置).pdf)为本站上传会员【曲****】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

锐捷路由器RGOSTM用户配置指导手册(安全配置).pdf

1、RGOS1M用户配置指导手册安全配置第六部分安全配置指南目录目录RGOStm用户配置指导手册.1第一章 访问控制列表.11.1 概述.11.1.1 访问控制列表简介.11.1.2 为什么要配置访问列表.11.1.3 什么时候配置访问列表.21.1.4 输入/输出ACL、过滤域模板及规则.31.2 IP访问列表配置.51.2.1 IP访问列表配置指导.51.2.2 配置IP访问列表.61.2.3 显示IP访问列表的配置.71.2.4 IP访问歹U表示例.81.3 Expert扩展访问歹U表的配置.91.3.1 Expert扩展访问歹U表酉己置才旨导.101.3.2 酉己置Expert扩展访问歹U

2、表.101.3.3 显示Expert扩展访 问列表的配置.111.3.4 Expert扩展访问歹U表示例.111.4 配置TCP Flag过滤控制.121.5 按优先级配置ACL表项.141.6 配置基于时间区的ACL.151.7 配置举例.161.7.1 配置TCP单向连接.161.8 不同线卡acl配置说明:.18第二章防火墙配置.202.1 ip-mac绑定配置.202.1.1 ip-mac 绑定概述.202.1.2 ip-mac绑定配置.202.2 url过滤配置.212.2.1 url过滤概述.212.2.2 url过滤酉己置.222.2.3 查看url过滤模块的配置信息和统计信息.

3、242.2.4 在使用这个功能的过程中经常遇到的问题.282.3 网络入口过滤.312.3.1 网络入口过滤概述.312.3.2 网络入口过滤配置.312.4 TCP SYN代理.312.4.1 TCP SYN代理概述.322.4.2 TCP SYN配置.322.5 特殊协议.332.5.1 特殊协议概述.332.5.2 特殊协议配置.332.6 TCP序号跟踪.34第1页共5页第六部分安全配置指南目录2.6.1 TCP序号跟踪概述.352.6.2 TCP序号跟踪配置.352.7 会话限制.352.7.1 会话限制概述.352.7.2 会话限制配置.352.7.3 会话限制信息查看.362.8

4、 流量管理.372.8.1 流量管理概述.372.8.2 流量管理配置.382.9 其它.382.9.1 会话日志使能配置.382.9.2 会话超时配置.382.9.3 异常会话状态限定配置.382.9.4 严格状态跟踪使能配置.382.9.5 ICMP反向流检查使能配置.39第三章 网络安全协议(IPSec).403.1 安全协议概述.403.1.1 为什么要加密.403.1.2 所支持的标准.403.1.3 术语解释.413.2 IPSec配置.423.2.1 IPSec工作过程概述.423.2.2 IPSec配置任务.433.2.3 IPSec配置示例.603.3 IKE 配置.623.

5、3.1 IKE工作过程.623.3.2 IKE配置任务.623.3.3 IKE配置示例.693.3.4 典型案例.70第四章VPDN配置.944.1 VPDN 概述.94第五章PPTP配置.955.1 PPTP 概述.955.2 PPTP服务端配置.955.2.1 配置任务列表.955.2.2 配置本地地址池.955.2.3 配置用户信息.965.2.4 配置VPDN全局参数.965.2.5 配置virtual-template接口.975.2.6 配置VPDN-group.985.2.7 酉己置示快!1.1015.3 PPTP的监控与维护.1075.3.1 PPTP 的监控.1075.3.2

6、 PPTP的维护.107第2页共5页第六部分安全配置指南目录5.3.3 常见问题解答.110第六章L2Tp配置.1126.1 L2Tp 概述.1126.2 本地客户端发起.1126.2.1 配置任务列表.1126.2.2 仓(J建并配置 12tp-class.1126.2.3 仓 ij 建并配置 pseudo wire-class.1146.2.4 仓建并酉己置virtual-ppp接口.1166.2.5 配置示例.1176.3 远程客户端发起.1326.3.1 配置任务列表.1326.3.2 配置本地地址池.1336.3.3 配置用户信息.1336.3.4 配置VPDN全局参数.1336.3

7、5 酉己置virtual-template接口.1356.3.6 酉己置VPDN-group.1356.3.7 酉己置示快!J.1406.4 L2Tp的监控与维护.1566.4.1 L2Tp 的监控.1566.4.2 L2Tp的维护.1706.4.3 常见问题解答.171第七章Tunnel接口配置.1737.1.1 Tunnel 接口概述.1737.1.2 Tunnel接口 酉己置.1747.1.3 Tunnel接口配置示例.1777.1.4 Tunnel接口的监控与维护.1797.1.5 Tunnel接口的故障诊断与排除.180第八章AAA配置.1818.1 AAA基本原理.1818.1.

8、1 AAA基本原理.1828.1.2 方法列表.1828.2 AAA配置基本步骤.1838.2.1 AAA配置过程概述.1838.2.2 启用AAA.1848.2.3 停用AAA.1848.2.4 后续的配置过程.1848.3 配置认证.1848.3.1 定义AAA认证方法列表.1848.3.2 方法列表举例.1858.3.3 配置AAA身份认证的通用步骤.1868.3.4 配置AAA线路身份认证.1868.3.5 配置认证示例.1898.3.6 终端服务应用下认证示例.1908.4 配置授权.191第3页共5页第六部分安全配置指南目录8.4.1 授权的准备工作.1928.4.2 配置授权列表

9、1928.4.3 RADIUS授权.1928.4.4 本地授权.1938.4.5 none授权.1938.4.6 配置网络授权示例.1938.5 配置记帐.1948.5.1 记帐类型.1948.5.2 网络记帐.1948.5.3 记帐的准备工作.1948.5.4 配置记帐.1948.5.5 监视AAA用户.1958.5.6 酉己置1己帐示区1.1958.6 配置支持VRF的AAA组.1968.7 配置login的用户认证失败锁定.196第九章 配置RADIUS.1989.1 RADIUS 概述.1989.2 RADIUS配置任务.1989.2.1 配置RADIUS协议参数.1999.2.2

10、指定RADIUS身份认证.1999.2.3 指定RADIUS私有属性类型.2009.3 监控RADIUS.2039.4 RADIUS 配置示例.203第十章配置TACACS+.20510.1 TACACS+概述.20510.2 TACACS+应用.20610.3 TACACS+配置任务.20810.3.1 配置TACACS+协议参数.20910.4 使用TACACS+进行认证、授权、记帐配置示例.21010.4.1 Login认证使用TACACS+的配置示例:.21010.4.2 ENABLE认证使用TACACS+的配置示例:.21110.4.3 登陆授权使用TACACS+的配置示例:.212

11、10.4.4 15级Commans审计使用TACACS+的配置示例:.213第4-一章NAT配置.21411.1 酉己置 NAT.21411.1.1 配置内部源地址静态NAT.21411.1.2 配置内部源地址NAPT.21511.1.3 配置重叠地址NAT.21711.1.4 配置TCP负载均衡.21711.1.5 配置NAT地址池地址主动发送免费arp间隔.21811.1.6 使能特殊协议开关.21811.1.7 监视和维护NAT.21911.1.8 NAT配置示例.22011.2 构建本地服务器配置示例.224第4页共5页第六部分安全配置指南目录第十二章SSH终端服务.22912.1 S

12、SH 简介.22912.2 锐捷SSH支持算法.22912.3 锐捷SSH支持.22912.4 SSH酉己置.22912.4.1 缺省的SSH配置.22912.4.2 用户认证配置.23012.4.3 打开SSH SERVER.23012.4.4 关闭SSH SERVER.23012.4.5 配置SSH server支持版本.23012.4.6 配置SSH用户认证超时时间.23112.4.7 配置SSH重认证次数.23112.5 使用SSH进行设备管理.232第十三章IP ACCOUNTING配置.23513.1 IP ACCOUNTING.23513.1.1 IP ACCOUNTING概述.

13、23513.1.2 IP ACCOUNTING功能描述.235第十四章 设备防攻击配置.23814.1 设备防攻击介绍.23814.2 设备防攻击的配置.23914.2.1 设备防攻击配置清单.23914.2.2 进入control-plane酉己置模式.24014.2.3 配置SCPP.24014.2.4 配置Glean-CAR.24114.2.5 配置ARP-CAR.24114.2.6 配置Port-Filter.24114.2.7 酉己置MPP.24214.2.8 酉己置ACPP.24214.2.9 使用默认规则启用设备防攻击.24314.3 设备防攻击的维护.24314.3.1 设备防

14、攻击的维护.24314.4 设备防攻击典型配置举例.243第5页共5页第六部分安全配置指南第一章访问控制列表第一章访问控制列表1.1 概述作为RGOS安全解决方案的一部分,RGOS使用访问控制列表提供强大的数据流 过滤功能。RGOS目前支持以下访问列表:标准IP访问控制列表 扩展IP访问控制列表 MAC访问控制列表 MAC扩展访问控制列表 Expert扩展访问控制列表 IPV6访问控制列表您可以根据网络具体情况选择不同的访问控制列表对数据流进行控制。1.1.1访问控制列表简介ACLs的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗

15、称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则 对网络设备接口上的数据报文进行控制:允许通过或丢弃。按照其使用的范围,可 以分为安全ACLs和QoS ACLs。对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的 设备。安全ACLs在数据流通过网络设备时对其进行分类过滤,并对从指定接口 输入或者输出的数据流进行检查,根据匹配条件(Cond用。ns)决定是允许其通过(Permit)还是丢弃(Deny)。总的来说,安全ACLs用于控制哪些数据流允许从网络设备通过,Qos策略对这 些数据流进行优先级分类和处理。ACLs由一系列的表项组成,我们称之为接入控制列表表

16、项(Access Control Entry:ACE)O每个接入控制列表表项都申明了满足该表项的匹配条件及行为。访问列表规则可以针对数据流的源地址、目标地址、上层协议,时间区域等信息。1.1.2为什么要配置访问列表配置访问列表的原因比较多,主要有以下一些:限制路由更新:控制路由更新信息发往什么地方,同时希望在什么地方收到路 由更新信息。限制网络访问:为了确保网络安全,通过定义规则,可以限制用户访问一些服 务(如只需要访问WWW和电子邮件服务,其他服务如TELNET则禁止),第1页共244页第六部分安全配置指南第一章访问控制列表或者仅允许在给定的时间段内访问,或只允许一些主机访问网络等等。图1

17、是一个案例,在该案例中,只允许主机A访问财务网络,而主机B禁止访问。如下图1所示。PC机A财务服务器PC机B人力资源网会计服务器财务网图1使用访问列表控制网络访问LL3什么时候配置访问列表您可以根据需要选择基本访问列表或动态访问列表。一般情况下,使用基本访问列 表已经能够满足安全需要。但经验丰富的黑客可能会通过一些软件假冒源地址欺骗 设备,得以访问网络。而动态访问列表在用户访问网络以前,要求通过身份认证,使黑客难以攻入网络,所以在一些敏感的区域可以使用动态访问列表保证网络安 全。ffl说明:通过假冒源地址欺骗设备即电子欺骗是所有访问列表固有的问题,使用动态列表也 会遭遇电子欺骗问题:黑客可能在

18、用户通过身份认证的有效访问期间,假冒用户的 地址访问网络。解决这个问题的方法有两种,一种是尽量将用户访问的空闲时间设 置小些,这样可以使黑客更难以攻入网络,另一种是使用IPSEC加密协议对网络 数据进行加密,确保进入设备时,所有的数据都是加密的。访问列表一般配置在以下位置的网络设备上:内部网和外部网(如INTERNET)之间的设备 网络两个部分交界的设备 接入控制端口的设备.访问控制列表语句的执行必须严格按照表中语句的顺序,从第一条语句开始比较,一旦一个数据包的报头跟表中的某个条件判断语句相匹配,那么后面的语句就将被 忽略,不再进行检查。第2页共242页第六部分安全配置指南第一章访问控制列表1

19、1.4输入/输出ACL、过滤域模板及规则输入ACL在设备接口接收到报文时,检查报文是否与该接口输入ACL的某一条 ACE相匹配;输出ACL在设备准备从某一个接口输出报文时,检查报文是否与该 接口输出ACL的某一条ACE相匹配。在制定不同的过滤规则时,多条规则可能同时被应用,也可能只应用其中几条。只 要是符合某条ACE,就按照该ACE定义的处理报文(Permit或Deny)。ACL的 ACE根据以太网报文的某些字段来标识以太网报文的,这些字段包括:二层字段(Layer 2 Fields):48位的源MAC地址(必须申明所有48位)48位的目的MAC地址(必须申明所有48位)16位的二层类型字段

20、三层字段(Layer 3 Fields):源IP地址字段(可以申明全部源IP地址值,或申明您所定义的子网来定义一 类流)目的IP地址字段(可以申明全部目的IP地址值,或申明您所定义的子网来定 义一类流)协议类型字段四层字段(Layer 4 Fields):可以申明一个TCP的源端口、目的端口或者都申明 可以申明一个UDP的源端口、目的端口或者都申明过滤域指的就是您在生成一条ACE时,根据报文中的哪些字段用以对报文进行识 别、分类。过滤域模板就是这些字段组合的定义。比如,您在生成某一条ACE时 希望根据报文的目的IP字段对报文进行识别、分类,而在生成另一条ACE时,希望根据的是报文的源IP地址字

21、段和UDP的源端口字段,这样,这两条ACE就 使用了不同的过滤域模板。规则(Rules),指的是ACE过滤域模板对应的值。比如有一条ACE内容如下:permit tcp host 192.168.12.2 any eq telnet在这条ACE中,过滤域模板为以下字段的集合:源IP地址字段、IP协议字段、目的TCP端口字段。对应的值(Rules)分别为:源IP地址=Host 192.168.12.2;IP 协议=TCP;TCP 目的端口=Telneto第3页共242页第六部分安全配置指南第一章访问控制列表图 2 对 ACE:permit tcp host 192.168.12.2 any eq

22、 telnetca说明:过滤域模板可以是三层字段(Layer 3 Field)和四层字段(Layer 4 Field)字段的集合,也可以是多个二层字段(Layer 2 Field)的集合,但标准与扩展的ACL的过滤域模板 不能是二层和三层、二层和四层、二层和三层、四层字段的集合。要使用二层、三 层、四层字段集合,可以应用Expert扩展访问控制列表(Expert ACLs)os57 out方向acl关联svi的注意事项:1.优先级高于in方向的acl;2.没有默认的deny any any项;3.支持ip标准,ip扩展,mac扩展,专家级acl应用;4.对acl中匹配目的ip和目的mac有一些

23、限制,如果在mac扩展和专家级acl 中匹配目的mac,将这样的acl应用到svi的011t方向时,表项会被设置,但无法 生效。如果想要在ip标准,ip扩展,专家级acl中匹配目的ip,而目的ip不在所 关联的svi的子网ip范围内时,该配置的acl将无法生效。比如vlan 1的地址为 192.168.64.1 255.255.255.0 现在,仓ij建一条 ip 扩展的 acl,ace 为 deny udp any 192.168.65.1 0.0.0.255 eq 255,将该acl应用到vlan 1的出口,将无法生效,因 为目的ip不在vlan 1子网ip范围内,如果ace为deny u

24、dp any 192.168.64.1 0.0.0.255 eq 255将可以生效,因为目的ip符合规定;5.如果svi的某成员口是用作路由而不是直接连接PC,则该svi的out方向acl 对出口为该成员的报文流不生效;6.不支持out方向acl关联到路由口和L3 AP.第4页共242页第六部分安全配置指南第一章访问控制列表1.2IP访问列表配置要在设备上配置访问列表,必须为协议的访问列表指定一个唯一的名称或编号,以 便在协议内部能够唯一标识每个访问列表。下表列出了可以使用编号来指定访问列 表的协议以及每种协议可以使用的访问列表编号范围。协议编号范围标准IP1-99,1300-1999扩 展I

25、P100-199,2000-2699L2J IP访问列表配置指导创建访问列表时,定义的规则将应用于设备上所有的分组报文,设备通过判断分组 是否与规则匹配来决定是否转发或阻断分组报文。基本访问列表包括标准访问列表和扩展访问列表,访问列表中定义的典型规则主要 有以下:源地址 目标地址 上层协议 时间区域标准IP访问列表(编号为1-99,1300-1999)主要是根据源IP地址来进行转发 或阻断分组的,扩展IP访问列表(编号为100-199,2000-2699)使用以上四 种组合来进行转发或阻断分组的。其他类型的访问列表根据相关代码来转发或阻断 分组的。对于单一的访问列表来说,可以使用多条独立的访问

26、列表语句来定义多种规则,其 中所有的语句引用同一个编号或名字,以便将这些语句绑定到同一个访问列表。不 过,使用的语句越多,阅读和理解访问列表就越来越困难。1.2.1.1隐含“拒绝所有数据流”规则语句在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句,因此如果分组与 任何规则都不匹配,将被拒绝。如下例:第5页共242页第六部分安全配置指南第一章访问控制列表access-list 1 permit host 192.168.4.12此列表只允许源主机为192.168.4.12的报文通过,其它主机都将被拒绝。因为这条访问列表最后包含了一条规则语句:access-list 1 deny anyo

27、又如:Access-list 1 deny host 192.168.4.12如果列表只包含以上这一条语句,则任何主机报文通过该端口时都将被拒绝。“注意:1.在定义访问列表的时候,要考虑到路由更新的报文。由于访问列表末尾“拒绝 所有数据流”,可能导致所有的路由更新报文被阻断。121.2输入规则语句的顺序加入的每条规则都被追加到访问列表的最后,语句被创建以后,就无法单独删除它,而只能删除整个访问列表。所以访问列表语句的次序非常重要。设备在决定转发还 是阻断分组时,设备按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他规则语句。假设创建了一条语句,它允许所有的数据流通过,则后面

28、的语句将不被检查。如下例:access-list 101 deny ip any anyaccess-list 101 permit tcp 192.168.12.0 0.0.0.255 eq telnet any由于第一条规则语句拒绝了所有的IP报文,所以192.168.12.0/24网络的主机 Telnet报文将被拒绝,因为设备在检查到报文和第一条规则语句匹配,便不再检查 后面的规则语句。1.2.2配置IP访问列表基本访问列表的配置包括以下两步:1.定义基本访问列表2.将基本访问列表应用于特定接口要配置基本访问列表,有以下两种方式:方式一 在全局配置模式下执行以下命令:命令功能Ruijie

29、config)#access-list id deny permit定义访问列表第6页共242页第六部分安全配置指南第一章访问控制列表src src-wildcard host src any time-range tm-rng-namGRuijie(config)#interface interface选择选择要应用访问 列表的接口Ruijie(config-if)#ip access-group id in|out unreflect将访问列表应用特定 接口方式二 在ACL配置模式下执行以下命令:命令功能Ruijie(config)#ip access-list standard|ext

30、ended id name进入配置访问列表模式Ruijie(config-xxx-nacl)#sn permit|deny src src-wildcard host src any|time-range tm-mg-name为ACL添加表项,具体内容请 参见命令参考Ruijie(config-xxx-nacl)#exitRuijie(config)#interface interface退出访问控制列表模式,选择 选择要应用访问列表的接口Ruijie(config-if)#ip access-group id in|out unreflect将访问列表应用特定接口3说明:方式一只对数值ACL

31、进行配置,方式二可以对命名和数值ACL进行配置,还可以 指定表项的优先级(在支持ACE优先级的设备中)。IPACL应用接口上,默认启用自反ACL。可以通过配置unreflect禁用自反ACL。(自反ACL工作原理:a.路由器根据由内网始发流量的第三层和第四层信息自动 生成一个临时性的访问表,临时性访问表的创建依据下列原则:protocol不变,source-IP 地址,destination-IP 地址严格对调,source-port,destination-port 严格 对调。b.只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问 表的第三、四层信息严格匹配时,路由器才会允许

32、此流量进入内部网络)1.2.3显示IP访问列表的配置要监控访问列表,请在特权用户模式执行以下命令:Ruijie#show access-lists id name 此命令可以查看基本访问列表第7页共242页第六部分安全配置指南第一章访问控制列表1.2.4IP访问列表示例配置要求:有两台设备Switch A和Switch B,如图1-3:192.168.202.12.2,2.1Switch A图3基本访问列表示例要求通过在Switch B上配置访问列表,实现以下安全功能:192.168.12.0/24网段的主机只能在正常上班时间访问远程UNIX主机 TELNET服务,拒绝PING服务。在Swit

33、ch B控制台上不能访问192.168.202.0/24网段主机的所有服务。ca说明:以上案例是银行系统应用的简化,即只允许分行或储蓄点局域网上的主机访问中心 主机,不允许在设备上访问中心主机。设备配置Switch B的配置:Ruiji(config)#interface GigabitEthernet 0/1Ruiji(config-if)#ip address 192.168.12.1 255.255.255.0Ruiji(config-if)#exitRuiji(config)#interface GigabitEthernet 0/2Ruiji(config-if)#ip addres

34、s 2.2,2.2 255.255.255.0Ruiji(config-if)#ip access-group 101 inRuiji(config-if)#ip access-group 101 out第8页共242页第六部分安全配置指南第一章访问控制列表按照要求,配置一个编号为101的扩展访问列表Ruiji(config)#access-list 101 permit tcp 192.168.12.0 0.0.0.255 any eq telnet time-range checkRuiji(config)#access-list 101 deny icmp 192.168.12.0 0.

35、0.0.255 anyRuiji(config)#access-list 101 deny ip 2.2.2.0 0.0.0.255 anyRuijie(config)#access-list 101 deny ip any any配置Time-Range时间区Ruiji(config)#time-range checkRuiji(configtim rang)#periodic weekdays 8:30 to 17:30ffl说明:访问列表101最后一条规则语句access-list 101 deny ip any any可以不要,因为访问列表最后隐含一条拒绝所有的规则语句。Switch

36、A的配置:Ruiji(config)#hostname RuijieRuiji(config)#interface GigabitEthernet 0/1Ruiji(config-if)#ip address 192.168.202.1 255.255.255.0Ruiji(config)#interface GigabitEthernet 0/2Ruiji(configif)#ip address 2.2.2.1 255.255.255.01.3 Expert扩展访问列表的配置要在设备上配置Expert扩展访问列表,必须给协议的访问列表指定一个唯一的名 称或编号,以便在协议内部能够唯一标识每

37、个访问列表。下表歹U出Expert访问歹U 表的编号范围。协议编号范围Expert扩展访问列表2700-2899X注意:Expert扩展访问列表不支持快转REFo第9页共242页第六部分安全配置指南第一章访问控制列表1.3.1 Expert扩展访问列表配置指导创建expert扩展访问列表时,定义的规则可以应用于所有的分组报文,通过判断 分组是否与规则匹配来决定是否转发或阻断分组报文。Expert访问列表中定义的典型规则主要有以下:基本访问列表和MAC扩展访问列表所有的信息 VLAN IDExpert扩展访问列表(编号2700-2899)为基本访问列表和MAC扩展访问列表 的综合体。并且能对VL

38、AN ID进行过滤。对于单一的Expert访问列表来说,可以使用多条独立的访问列表语句来定义多种 规则,其中所有的语句需引用同一个编号或名字,以便将这些语句绑定到同一个访 问列表。1.3.2配置Expert扩展访问列表Expert访问列表的配置包括以下两步:定义Expert访问列表 应用列表于特定接口(应用特例)要配置Expert访问列表,有以下两种方式方式一在全局配置模式下执行以下命令:命令功能Ruijie(config)#access-list id deny|permit prot ethernet-type cos cos VID vid src src-wildcard host s

39、rchost src-mac-addr any dst dst-wildcard host dst|anyhost dst-mac-addr any precedence precedence tos tos dscp dscp fragment time-range tm-rng-name定义访问列表,命令的具体 内容请参见命令参考Ruijie(config)#interface interface选择选择要应用访问列表 的接口Ruijie(config-if)#expert access-group id in|out unreflect将访问列表应用特定接口方式二,在ACL配置模式下执行

40、以下命令:命令功能第10页共242页第六部分安全配置指南第一章访问控制列表Ruijie(config)#expert access-list extended idname进入配置访问列表模式Ruijie(config-exp-nacl)#sn permit|deny prot ethernet-type cos cos VID vid src src-wildcard host src host src-mac-addr any dst dst-wildcard host dst anyhost dst-mac-addr anyprecedence precedence tos tos ds

41、cp dscp fragment time-range tm-rng-name为ACL添加表项,命令的具体 内容请参见命令参考Ruijie(config-exp-nacl)#exitRuijie(config)#interface interface退出访问控制列表模式,选择 选择要应用访问列表的接口Ruijie(config-if)#expert access-group idname in/out unreflect将访问列表应用特定接口ffl说明:方式一只对数值ACL进行配置;方式二可以对命名和数值ACL进行配置,在支持 优先级表项的版本中,还可以指定表项的优先级(命令中sn选项)。S8

42、600/S9600/s26/s57/s5750s 产品的 Expert 扩展 acl 不支持 tcp,udp 寸艮文 4 层 端口的“neq”匹配当只有-E卡的情况下,对于expert ACL,应用在OUT方向时,如果同时匹配IP 字段和以太网字段,匹配以太网字段的ACE不会生效。IP扩展ACL应用接口上,默认启用自反ACL。可以通过配置unreflect禁用自反 ACLo1.3.3 显示Expert扩展访问列表的配置要监控访问列表,请在特权用户模式执行以下命令:Ruijie#show access-lists id name可以查看Expert访问列表1.3.4 Expert扩展访问列表示例

43、要求通过配置Expert访问列表,实现以下安全功能:1.VLAN20 的 0013.2049.8272 的主机能访问设备 Giga 0/1 端口。2.其他的不能访问第11页共242页第六部分安全配置指南第一章访问控制列表Ru i j ienableRuijia#config terminalRuiji(config)#expert access-list extended expert-listRuiji(config-xpnacl)#permit ip vid 20 any host 0013.2049.8272 any anyRuiji(config-xpnacl)#deny any an

44、y any anyRuiji(config-xpnacl)#exitRuijie(config)#interface gigabitEthernet 0/1Ruiji(configif)#expert access-group expert-list inRuiji(config-if)#endRuijia#show access-listsxprt accsslist xtndd expert-listptmit ip vid 20 any host 0013.2049.8272 any anydny any anyRui j#1.4配置TCP Flag过滤控制TCP Flag过滤特性提供了

45、一种灵活机制,当前TCP Flag过滤控制支持Match-All 选项,接收到的报文匹配到有TCP Flag与ACL表项中定义的TCP Flag每一位均 吻合,就由ACL规则来检验,使用者可以定义TCP Flag的任意组合,用来过滤 某些具有特定TCP Flag的报文。例如:permit tcp any any match-all rst允许TCP Flag RST置位,其他位为0的报文通过。G3说明:这种过滤特性可以在命名ACL,数值ACL配置协议号为TCP的情况下可选配置。MAC扩展和IP标准没有此项功能。请按照如下步骤配置TCP Flag命令功能Ruijie(config)#ip acc

46、ess-list extended id name进入配置访问列表模式第12页共242页第六部分安全配置指南第一章访问控制列表Ruijie(config-ext-nacl)#snpermit|deny tcp sourcesource-wildcard operator port porf destination destination-wildcardoperator port port match-all/7ag-nameprecedence precedence为ACL添加表项,命令的具 体内容请参见命令参考Ruijie(config-exp-nacl)#exitRuijie(confi

47、g)#interface interface退出访问控制列表模式,选 择选择要应用访问列表的 接口Ruijie(config-if)#ip access-group id|name in|out将访问列表应用特定接口下面的例子说明如何配置TCP Flag1)enable权限和密码RuijienableRui j#2)进入全局配置模式Ruijia#configure terminalRuiji(config)#3)进入ACL配置模式Ruiji(config)#ip access-list extended test-top-flag Ruiji(config-xtnacl)#4)添加ACL表项R

48、uiji(config-xtnacl)#permit tcp any any match-all rst5)添加deny表项Ruiji(config-xtnacl)#deny tcp any any match-all fin6)重复添加删除表项,7)endRuiji(config-xtnacl)#end8)显示Ruijia#show access-list test-tcp-flag ip accsslists xtndd tsttcpflag 10 prmit tcp any any match-all rst 20 dny tcp any any match-all fin第13页共24

49、2页第六部分安全配置指南第一章访问控制列表1.5 按优先级配置ACL表项为了体现ACE的优先级,对每个ACL列表提出标准,以规范该ACL列表下的ACE 的编排方式,采用序号的起点-增量方式,具体描述如下:ACE在链表中以序号自小至大方式排列;以起点序号开始,如不指定序号均以前一 ACE的序号为基础以增量递增。指定序号时将该ACE以排序方式插入,增量保证了在两个相邻ACE之间能 够插入新的ACE。ACL列表指定序号起点和序号增量。提供 ip access-list resequence acl-idl ad-name sn-start sn-inc 命令,相关命 令见命令参考。每运行以上命令,便

50、对ACL list下的ace重新排列,如名字为tst_acl的ACL下 ace序号为:初始时acai:10 ac2:2 0 ac3:30运行 ip access-list resequence tst_acl 100 3,ACE 的序号如下Ruiji(config)#ip access-list resequence tst_acl 100 3 ac1:100 ac2:103 ac3:106不输入sn-num添加ace4时,序号如下Ruiji(configstdnacl)#permit。acai:100 ac2:103 ac3:106 ac4:109输入seq-num=105添加ace5时,序

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服