MyPower 交换机操作手册 - 09 - 安全功能操作

目 录

第1章 ACL配置 ................................................................................. 1-1

1.1 ACL介绍 ..................................................................................................... 1-1

1.1.1 Access-list ............................................................................................................ 1-1 1.1.2 Access-group ....................................................................................................... 1-1 1.1.3 Access-list动作及全局默认动作 ....................................................................... 1-1

1.2 ACL配置 ..................................................................................................... 1-2 1.3 ACL举例 ................................................................................................... 1-16 1.4 ACL排错帮助 ........................................................................................... 1-21

第2章 802.1x配置 ................................................................................ 23

2.1 802.1x介绍 .................................................................................................... 23 2.2 802.1x配置 .................................................................................................... 24 2.3 802.1x应用举例 ............................................................................................ 27 2.4 802.1x排错帮助 ............................................................................................ 28

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1

第1章 ACL配置

1.1 ACL介绍

ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。

1.1.1 Access-list

Access-list是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。根据不同的标准，access-list可以有如下分类：

?

根据过滤信息：ip access-list，ipv6 access-list（三层以上信息），mac access-list（二层信息），mac-ip access-list（二层以上信息）。

? 根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加

细致过滤信息。

? 根据命名方式：数字(numbered)和命名(named)。 对一条ACL的说明应当从这三个方面加以描述。

1.1.2 Access-group

当用户按照实际需要制定了一组access-list之后，就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后，流经此端口此方向的所有数据包都会试图匹配指定的access-list规则，以决定交换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对ACL规则统计计数器，以便统计流经端口的符合ACL规则数据包的数量。

1.1.3 Access-list动作及全局默认动作

Access-list动作及默认动作分为两种：允许通过(permit)或拒绝通过(deny)。具体有如下：

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-1

? 在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）

开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配。

? 全局默认动作只对端口入口方向的数据流量有效。对出口的所有数据包，其默认转发动

作均为允许通过(permit)。

? 只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会

匹配入口的全局的默认动作。

? 当一条access-list被绑定到一个端口的出方向时，其规则（rule）的动作只能为拒绝通

过（deny）。

1.2 ACL配置

ACL配置任务序列如下： 1. 配置access-list

（1） 配置数字标准IP访问列表 （2） 配置数字扩展IP访问列表 （3） 配置命名标准IP访问列表

a) 创建一个命名标准IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 （4） 配置命名扩展IP访问列表

a) 创建一个命名扩展IP访问列表 b) 指定多条permit或deny规则表项 c) 退出访问表配置模式 （5） 配置数字标准MAC访问列表 （6） 配置数字扩展MAC访问列表 （7） 配置命名扩展MAC访问列表

a) 创建一个命名扩展MAC访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC访问表配置模式 （8） 配置数字扩展MAC-IP访问列表 （9） 配置命名扩展MAC-IP访问列表

a) 创建一个命名扩展MAC-IP访问列表 b) 指定多条permit或deny规则表项 c) 退出MAC-IP访问表配置模式 （10） 配置数字标准IPV6访问列表 （11） 配置命名标准IPV6访问列表

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-2

a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 （12） 配置命名扩展IPV6访问列表

a) 创建一个命名扩展IPV6访问列表 b) 指定多条permit或deny规则表项 c) 退出IPV6访问表配置模式 2. 配置包过滤功能 （1）全局打开包过滤功能 （2）配置默认动作(default action) 3. 配置时间范围功能

（1） 创建时间范围名称 （2） 配置周期性时段 （3） 配置绝对性时段

4. 将accessl-list绑定到特定端口的特定方向 5. 清空指定接口的包过滤统计信息 1. 配置access-list

（1） 配置数字标准IP访问列表 命令 全局配置模式 解释 access-list {deny | permit} 创建一条数字标准IP访问列表，如果已有此{{ } | any-source | 访问列表，则增加一条规则（rule）表项；本{host-source }} no access-list

（2） 配置数字扩展IP访问列表 命令 全局配置模式 access-list }} {deny | permit} } icmp | 创建一条icmp数字扩展IP访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 解释 命令的no操作为删除一条数字标准IP访问列表。 {{ } | any-source | {host-source {{ any-destination | {host-destination }} [ []] [precedence ] [tos ][time-range] 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-3

access-list }} [] {deny | permit} } ] igmp | [tos 创建一条igmp数字扩展IP访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 {{ } | any-source | {host-source {{ [precedence any-destination | {host-destination }} ][time-range] access-list {deny | permit} tcp {{ } | any-source | {host-source }} [s-port [d-port ] ] {{ } | 创建一条tcp数字扩展IP访问规any-destination | {host-destination }} 则；如果此编号数字扩展访问列[ack+fin+psh+rst+urg+syn] 表不存在则创建此访问列表。 ] [s-port {deny | permit} [tos udp 创建一条udp数字扩展IP访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 [precedence access-list }} ][time-range] {{ } | any-source | {host-source ] {{ } | any-destination | {host-destination }} [d-port ] [precedence ] [tos ][time-range] access-list {deny | permit} {eigrp | gre | igrp | ipinip | ip | } {{ } | 创建一条匹配其他特定IP协议any-source {{ ] ][time-range] no access-list

（3） 配置命名标准IP访问列表 a. 创建一个命名标准IP访问列表 命令 全局配置模式 ip access-list standard no ip access-list standard b. 指定多条permit或deny规则

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-4

解释 创建一条命名标准IP访问列表；本命令的no操作为删除此命名标准IP访问列表。 删除一条数字扩展IP访问列表。 | {host-source | }} }} 或所有IP协议的数字扩展IP访| 问规则；如果此编号数字扩展访[precedence 问列表不存在则创建此访问列[tos 表。 } any-destination {host-destination

命令 命名标准IP访问列表配置模式 解释 | 的no操作为删除此命名标准IP访问规则（rule）。 解释 退出命名标准IP访问列表配置模式。 ；本命令[no] {deny | permit} {{ 创建一条命名标准IP访问规则（rule）} | any-source {host-source }} 命令 命名标准IP访问列表配置模式 Exit （4） 配置命名扩展IP访问列表

a. 创建一个命名扩展IP访问列表 命令 全局配置模式 ip access-list extended no ip access-list extended b. 指定多条permit或deny 规则 命令 命名扩展IP访问列表配置模式 [no] {deny | permit} icmp {{ } | any-source {{ | [ | {host-source } | }} }} [precedence 创建一条icmp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。 解释 解释 创建一条命名扩展IP访问列表；本命令的no操作为删除此命名扩展IP访问列表。 c. 退出命名标准IP访问列表配置模式 any-destination {host-destination []] [tos ] ][time-range] [no] {deny | permit} igmp {{ } | any-source {{ | [] | {host-source } | }} }} ] ][time-range] 创建一条igmp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。 any-destination {host-destination [precedence [tos 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利 1-5

[no] {deny | permit} tcp {{ } | any-source | {host-source }} [s-port ] {{ } | any-destination }} ] ][time-range] [no] {deny | permit} udp {{ } | any-source | {host-source }} [s-port ] {{ } | 创建一条udp命名扩展IP访问规any-destination ] ][time-range] [no] {deny | permit} {eigrp | gre | igrp | ipinip | ip | } {{ } | any-source | 创建一条匹配其他特定IP协议或{host-source }} }} [precedence {{ 所有IP协议的数字扩展IP访问规] [tos 表不存在则创建此访问列表。 } | any-destination | {host-destination 则；如果此编号数字扩展访问列][time-range] c. 退出命名扩展IP访问列表配置模式 命令 命名扩展IP访问列表配置模式 Exit

（5） 配置数字标准MAC访问列表 命令 全局配置模式 access-list {deny|permit} 解释 创建一条数字标准mac访问列表，如果已有此访问列表，则增加一条规则（rule）表项；本命令的no操作为删除一条数字标准mac访问列表。 解释 退出命名扩展IP访问列表配置模式。 | ；本命令的no操作为删{host-destination 则（rule）[tos （rule）。 }} [d-port ] [precedence 除此命名扩展IP访问规则| [d-port {host-destination ] [precedence [tos 创建一条tcp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。 [ack+fin+psh+rst+urg+syn] {any-source-mac|{host-source-mac }|{}} no access-list

（6） 配置数字扩展MAC访问列表

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-6

命令 全局配置模式 access-list {deny|permit} {any-source-mac| 创建一条数字扩展mac访问列表，如果已有此访问列表，则增加一条[ 规则（rule）表项；本命解释 {host-source-mac}|{}}{any-destination-mac|{host-destination-mac }|{}}[{untagged-eth2|tagged-eth2|untagged-802.3|tagged-802.3} [ 令的no操作为删除一条[ [ 数字扩展mac访问列]]]]] no access-list

（7） 配置命名扩展MAC访问列表

a. 命令 全局配置模式 Mac-access-list extended

b. 指定多条permit或deny规则表项 命令 命名扩展MAC访问列表配置模式 [no]{deny|permit}{any-source-mac|{host-source-mac }|{}} 解释 创建一条匹配普通MAC帧的命名扩展创建一个命名扩展MAC访问列表 解释 创建一条命名扩展MAC访问列表；本命令的表。 no mac-access-list extended no操作为删除此命名扩展MAC访问列表。 {any-destination-mac|{host-destination-mac } MAC访问规则(rule)；|{ }} [cos []] no操作为删除此命名[vlanId []] [ethertype 扩展MAC访问规则[]] （rule） 创建一条匹配[no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}} [untagged-eth2 [ethertype [protocol-mask]]] untagged以太网2帧类型的命名扩展MAC访问规则(rule)； no操作为删除此命名扩展MAC访问规则（rule） 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-7

创建一条匹配[no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}} [untagged-802-3] [no]{deny|permit}{any-source-mac|{host-source-mac}|{}}{any-destination-mac|{host-destination-mac}|{}}[ []] untagged 802.3帧类型的MAC访问规则(rule)； no操作为删除此命名扩展MAC访问规则（rule） 创建一条匹配tagged 以太网2帧类型的MAC访问规则(rule)； tagged-eth2 [cos []] [vlanId no操作为删除此命名[ethertype 扩展MAC访问规则（rule） 创建一条匹配tagged 802.3帧类型的MAC访问规则(rule)；no操MAC访问规则（rule） []]] [no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac}|[]] [vlanId []]]

c. 退出MAC访问表配置模式 命令 命名扩展MAC访问列表配置模式 Exit

（8） 配置数字扩展MAC-IP访问列表 命令 全局配置模式 access-list{deny|permit}{any-source-mac| {host-source-mac}|{}} {any-destination-mac|{host-destination-mac }|{}}icmp {{}|any-source| {host-source}} {{}|any-destination| {host-destination}}[ []] [precedence ] [tos 创建一条mac-icmp数字扩展mac-ip访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 解释 解释 退出命名扩展MAC访问列表配置模式 {}} [tagged-802-3 [cos 作为删除此命名扩展][time-range] 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-8

access-list{deny|permit}{any-source-mac| {host-source-mac}|{}} {any-destination-mac|{host-destination-mac }|{}}igmp {{}|any-source| {host-source}} {{}|any-destination| {host-destination}} [] [precedence ] [tos ][time-range] access-list{deny|permit}{any-source-mac| {host-source-mac}|{}}{any-destination-mac|{host-destination-mac }|{}}tcp {{}|any-source| {host-source}}[s-port] {{}|any-destination| {host-destination }} [d-port ] [ack+fin+psh+rst+urg+syn] [precedence ] [tos ][time-range] access-list{deny|permit}{any-source-mac| {host-source-mac}|{}}{any-destination-mac|{host-destination-mac }|{}}udp {{}|any-source| {host-source}}[s-port] {{}|any-destination| {host-destination}} [d-port ] [precedence ] [tos ][time-range] 创建一条mac-udp数字扩展mac-ip访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 创建一条mac-tcp数字扩展mac-ip访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 创建一条mac-igmp数字扩展mac-ip访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-9

access-list{deny|permit}{any-source-mac| {host-source-mac}|{}} {any-destination-mac|{host-destination-mac }|{}} {eigrp|gre|igrp|ip|ipinip|ospf|{}} {{}|any-source| {host-source}} {{}|any-destination| {host-destination}} [precedence ] [tos 删除一条数字扩展MAC-IP访问列表。 ][time-range] no access-list

（9） 配置命名扩展MAC-IP访问列表

a) 创建一个命名扩展MAC-IP访问列表 命令 全局配置模式 mac-ip-access-list extended no mac-ip-access-list extended

b) 指定多条permit或deny规则表项 命令 命名扩展MAC-IP访问列表配置模式 [no] {deny|permit} {any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}}icmp {{}|any-source| {host-source}} {{}|any-destination| []] [precedence ] [tos 创建一条mac-icmp命名扩展MAC访问规则（rule）；no操作为删除此命名扩展MAC-IP访问规则解释 解释 创建一条命名扩展MAC-IP访问列表；本命令的no操作为删除此命名扩展MAC-IP访问列表。 创建一条匹配其他特定mac-IP协议或所有mac-IP协议的数字扩展mac-ip访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。 。 {host-destination }} [ （rule）][time-range] 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-10

[no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}}igmp {{}|any-source| {host-source}} {{}|any-destination| [precedence ] [tos 创建一条mac-igmp命名扩展MAC-IP访问规则（rule）； no操作为删除此命名扩展MAC-IP访问规则。 {host-destination }} [] （rule）][time-range] [no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}}tcp {{}|any-source| {host-source}}[s-port] {{}|any-destination| [ack+fin+psh+rst+urg+syn] [precedence ] [tos ][time-range] [no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}}udp {{}|any-source| {host-source}}[s-port] {{}|any-destination| [precedence ] [tos 创建一条mac-udp命名扩展MAC-IP访问规则（rule）；no操作为删除此命名扩展MAC-IP访问规则创建一条mac-tcp命名扩展MAC-IP访问规则（rule）；no操作为删除此命名扩展MAC-IP访问规则。 {host-destination }} [d-port ] （rule）。 {host-destination }} [d-port ] （rule）][time-range] 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-11

[no]{deny|permit}{any-source-mac|{host-source-mac }|{}} {any-destination-mac|{host-destination-mac }|{}} {eigrp|gre|igrp|ip|ipinip|ospf|{}} {{}|any-source| {host-source}} {{}|any-destination| {host-destination}} [precedence

c) 退出MAC-IP访问表配置模式 命令 解释 命名扩展MAC-IP访问列表配置模式 Exit

（10） 配置数字标准IPV6访问列表 命令 全局配置模式 ipv6 access-list {deny | permit} {{ } | any-source }} no ipv6 access-list

（11） 置命名标准IPV6访问列表 a 命令 全局配置模式 ipv6 access-list standard no ipv6 access-list standard b 命令 指定多条permit或deny规则 解释 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-12 创建一个命名标准IPV6访问列表 解释 创建一条命名标准IPV6访问列表；本命令的no操作为删除此命名标准IPV6访问列表。 | {host-source 解释 创建一条数字标准IPV6访问列表，如果已有此访问列表，则增加一条规则（rule）表项；本命令的no操作为删除一条数字标准IP访问列表。 退出命名扩展MAC-IP访问列表配置模式 ] [tos ][time-range] 创建一条mac-ip其他协议类型的命名扩展MAC-IP访问规则（rule）；no操作为删除此命名扩展MAC-IP访问规则（rule）。 命名标准IPV6访问列表配置模式 [no] {deny | | permit} ；本命令| 创建一条命名标准IPV6访问规则（rule）（rule）。 {{} any-source }} c 命令 命名标准IPV6访问列表配置模式 Exit {host-source 的no操作为删除此命名标准IPV6访问规则退出命名标准IPV6访问列表配置模式 解释 退出命名标准IPV6访问列表配置模式。 创建一个命名扩展IPV6访问列表 解释 创建一条命名扩展IPV6访问列表；本命令的no操作为删除此命名扩展IPV6访问列表。 （12） 配置命名扩展IPV6访问列表 a 命令 全局配置模式 ipv6 access-list extended no ipv6 access-list extended b 命令 命名扩展IP访问列表配置模式 [no] {deny | permit} icmp 指定多条permit或deny 规则 解释 {{} | any-source | 创建一条icmp命名扩展IPV6访{host-source （rule）；本命令的no操作}} 问规则{ | any-destination | 为删除此命名扩展IPV6访问规。 {host-destination }} [ 则（rule）[]] [dscp ] [flow-label ] [no] {deny | | permit} tcp | { any-source {host-source }} [s-port ] 创建一条tcp命名扩展IPV6访问；本命令的no操作为{ | any-destination | 规则（rule）{host-destination }} [d-port 删除此命名扩展IPV6访问规则。 ] [syn | ack | urg | rst | fin | psh] [dscp （rule）] [flow-label ] 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-13

[no] {deny | permit} | udp | 创建一条udp命名扩展IPV6访问规则（rule）；本命令的no操作为删除此命名扩展IPV6访问规则（rule）。 { any-source {host-source }} [s-port ] { | any-destination | {host-destination [no] {deny | permit} | { {host-source {host-destination c 命令 命名扩展IPV6访问列表配置模式 Exit

2. 配置包过滤功能 （1）全局打开包过滤功能 命令 全局配置模式 firewall enable firewall disable

（2）配置默认动作(default action) 命令 全局配置模式 firewall default permit firewall default deny

3. 配置时间范围功能 （1）创建时间范围名称 命令 全局配置模式 解释 解释 解释 any-source }} [d-port ] [dscp ] [flow-label ] | 创建一条匹配其他特定IPV6协如}} 议的数字扩展IPV6访问规则；}} [dscp 在则创建此访问列表。 { | any-destination | 果此编号数字扩展访问列表不存] [flow-label ] 退出命名扩展IPV6访问列表配置模式 解释 退出命名扩展IPV6访问列表配置模式。 全局打开包过滤功能。 全局关闭包过滤功能。 设置默认动作为permit。 设置默认动作为deny。 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-14

time-range no

（2）配置周期性时段 命令 时间范围模式 absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}to {Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday} periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}| daily| weekdays | weekend} [no]absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday} [no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays| weekend}

（3）配置绝对性时段 命令 全局配置模式 解释 to 停止一周内的时间范围配置 to 配置一周内的各种不同要求的时间范围，每周都循环这个时间 解释 time-range 创建一个名为time_range_name的时间范围名 停止名为time_range_name的时间范围功能 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-15

Absolute start[end ] [no]absolute start[end]

4. 将accessl-list绑定到特定端口的特定方向 命令 物理接口配置模式/Vlan接口模式 解释 物理接口模式：在端口的某个方向上应用一条{ip|mac|mac-ip} {in|out}[traffic-statistic] {in|out}

5. 清空指定接口的包过滤统计信息 命令 特权用户模式 clear

access-group statistic 解释 在指定端口清除包过滤统计信息 access-group access-list； no操作为删除绑定在端口上的access-list。 Vlan接口模式：在Vlan中所有端口的某个方向在Vlan中所有端口上的access-list。 停止一个绝对时间范围功能 创建一个绝对时间范围 no {ip|mac|mac-ip} access-group 上应用一条access-list； no操作为删除绑定[ethernet] 1.3 ACL举例

案例1：

用户有如下配置需求：交换机的10端口连接10.0.0.0/24网段，管理员不希望用户使用ftp。 配置更改：

1． 创建相应的ACL 2． 配置包过滤功能 3． 绑定ACL到端口 配置步骤如下：

Switch(Config)#access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-16

Switch(Config)#firewall enable Switch(Config)#firewall default permit

Switch(Config)#interface ethernet1/10

Switch(Config-Ethernet1/10)#ip access-group 110 in Switch(Config-Ethernet1/10)#ex Switch(Config)#ex

配置结果： Switch#show firewall Firewall Status: Enable. Firewall Default Rule: Permit. Switch#show access-lists access-list 110(used 1 time(s))

access-list 110 deny tcp 10.0.0.0 0.0.0.255 any-destination d-port 21

Switch#show access-group interface ethernet 1/10 interface name:Ethernet1/10

the ingress acl use in firewall is 110. 案例2：

用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3的数据报文发出。 配置更改：

1、 创建相应的MAC ACL 2、 配置包过滤功能 3、 绑定ACL到端口 配置步骤如下：

Switch(Config)#access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any untagged-802.3

Switch(Config)# access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-ff-ff any tagged-802.3

Switch(Config)#firewall enable Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 1/10

Switch(Config-Ethernet1/10)#mac access-group 1100 in

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-17

Switch(Config-Ethernet1/10)#ex Switch(Config)#ex

配置结果： Switch#show firewall fire wall is enable

the default action of fire wall is permit

Switch #show access-lists access-list 1100(used 1 time(s)) access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac untagged-802.3 access-list 1100 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac

tagged-802.3 Switch #show access-group interface name:Ethernet1/10 MAC Ingress access-list used is 1100. 案例3：

用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且IP为10.0.0.0/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。 配置更改：

1、 创建相应的ACL 2、 配置包过滤功能 3、 绑定ACL到端口 配置步骤如下：

Switch(Config)#access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any tcp 10.0.0.0 0.0.0.255 any-destination d-port 21

Switch(Config)#access-list 3120 deny any 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.0 0.0.0.255

Switch(Config)#firewall enable Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 1/10

Switch(Config-Ethernet1/10)#mac-ip access-group 3110 in

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-18

Switch(Config-Ethernet1/10)#mac-ip access-group 3120 out Switch(Config-Ethernet1/10)#ex Switch(Config)#ex

配置结果： Switch#show firewall fire wall is enable

the default action of fire wall is permit

Switch#show access-lists access-list 3120(used 1 time(s)) access-list 3120 deny any-source-mac 00-12-11-23-00-00 00-00-00-00-FF-FF icmp any-source 10.0.0.0 0.0.0.255

access-list 3110(used 1 time(s))

access-list 3110 deny 00-12-11-23-00-00 00-00-00-00-FF-FF any-destination-mac tcp 10.0.0.0 0.0.0.255 any-destination d-port 21

Switch #show access-group interface name:Ethernet1/10 MAC-IP Ingress access-list used is 3110. MAC-IP Egress access-list used is 3120. 案例4：

用户有如下配置需求：交换机的10端口连接的网段是IPV6，并且IPV6的地址为2003：1：1：1：：0/64网段，管理员不希望除了2003：1：1：1：66：：0/80网段用户访问外网。 配置更改：

1. 创建相应的ACL 2. 配置包过滤功能 3. 绑定ACL到端口 配置步骤如下：

Switch(Config)#ipv6 access-list 10 deny 2003:1:1:1::0/64 any-source Switch(Config)# ipv6 access-list 10 permit 2003:1:1:1:66::0/80 any-source

Switch(Config)#firewall enable Switch(Config)#firewall default permit

Switch(Config)#interface ethernet 1/10

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-19

Switch(Config-Ethernet1/10)#ipv6 access-group 10 in Switch(Config-Ethernet1/10)#ex Switch(Config)#ex

配置结果： Switch#show firewall fire wall is enable

the default action of fire wall is permit

Switch#show access-lists Ipv6 access-list 10(used 1 time(s))

ipv6 access-list 10 deny 2003:1:1:1::0/64 any-source ipv6 access-list 10 permit 2003:1:1:1:66::0/80 any-source

Switch #show access-group interface name:Ethernet1/10 IPV6 Ingress access-list used is10. 案例5：

用户有以下配置需求：交换机的1，2，5，7端口属于Vlan100，管理员不希望IP地址为192.168.0.1的设备接入到这几个端口。 配置更改：

1．创建相应的ACL 2． 配置包过滤功能 3． 绑定ACL到端口 配置步骤如下：

Switch (config)#firewall enable Switch (config)#vlan 100

Switch (Config-Vlan100)#switchport interface ethernet 1/1;2;5;7 Switch (Config-Vlan100)#exit

Switch (config)#access-list 1 deny host-source 192.168.0.1 Switch (config)#interface vlan 100

Switch (Config-if-Vlan100)#ip access-group 1 in Switch (Config-if-Vlan100)#exit 配置结果：

Switch (config)#show access-group interface vlan 100

Interface VLAN 100:

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-20

Ethernet1/1: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/2: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/5: IP Ingress access-list used is 1, traffic-statistics Disable. Ethernet1/7: IP Ingress access-list used is 1, traffic-statistics Disable.

1.4 ACL排错帮助

? 对ACL中的表项的检查是自上而下的，只要匹配一条表项，对此ACL的检查就马上结

束。

? 端口特定方向上没有绑定ACL或没有任何ACL表项匹配时，才会使用默认规则。 ? 每个端口入口可以绑定一条MAC-IP ACL，一条IP ACL，一条MAC ACL和一条IPV6

ACL（通过物理接口配置模式或Vlan接口配置模式）；

? 每个端口出口可以绑定一条MAC-IP ACL，一条IP ACL，一条MAC ACL和一条IPV6

ACL；

? 当同时绑定六条ACL且数据包同时匹配其中多条ACL时，优先关系从高到低如下，如

果优先级相同，则先配置的优先级高：

? 出口IPV6 ACL； ? 出口MAC-IP ACL； ? 出口MAC ACL ? 出口IP ACL ? 入口IPV6 ACL； ? 入口MAC-IP ACL ? 入口MAC ACL ? 入口 IP ACL

? 出口ACL只可以指定deny动作；

? 只在MASTER交换机上的接口支持绑定访问控制列表。

? 端口可以成功绑定的ACL数目取决于已绑定的ACL的内容以及硬件资源限制。

? 如果access-list中包括过滤信息相同但动作矛盾的规则，则其无法绑定到端口并将有

报错提示。例如同时配置permit tcp any-source any-destination及deny tcp any-source any-destination。

? 可以配置ACL拒绝某些ICMP报文通过以防止“冲击波”等病毒攻击。

? 如果物理接口的模式为Trunk，则该端口只能通过物理接口配置模式配置ACL。 ? 在物理接口配置模式下绑定的ACL只能在物理接口配置模式下取消，在Vlan接口配置

模式下绑定的ACL只能在Vlan接口模式下取消。

? 物理接口加入/移出Vlan时（Trunk口除外），该Vlan中配置的ACL将自动绑定/移除

该物理接口；如果目的Vlan中配置的ACL（通过Vlan接口配置模式配置）和该端口

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-21

原有的ACL配置（通过物理接口配置模式配置）冲突，将导致端口移动失败。 ? Vlan中无物理接口时（Trunk口除外），将删除ACL在Vlan中的配置，以后如果再有

物理端口移入Vlan，将无ACL应用于该物理接口。

? 端口模式转换：access->trunk，将取消通过Vlan接口配置模式绑定到该物理接口的

ACL；trunk->access,将Vlan 1接口配置的ACL绑定到该物理接口，如果绑定失败，端口模式转换将执行失败。

? 删除Vlan时，如果有ACL绑定到该Vlan，该ACL将从该Vlan包含的所有物理接口

移除，之后绑定Vlan 1 ACL（如果Vlan1配置有ACL），如果绑定Vlan1 ACL失败，删除Vlan将执行失败。

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

1-22

第2章 802.1x配置

2.1 802.1x介绍

IEEE 802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是交换机设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问局域网内的资源；如果不能通过认证，则无法访问局域网内的资源，相当于在物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：交换机的一个物理端口仅连接一个终端设备（基于物理端口）。

802.1x的体系结构如下图：

图 2-1 802.1x体系结构

如上图所示IEEE 802.1x的体系结构中包括三个部分：

? Supplicant System，用户接入设备； ? Authenticator System，接入控制单元； ? Authentication Server System，认证服务器。

用户接入设备（PC）与接入控制单元（接入交换机）间运行 IEEE 802.1x定义的EAPOL协议；接入控制单元与认证服务器间同样运行 EAP 协议，EAP 报文中封装了认证数据，该协议报文承载在其他高层次协议报文中，如RADIUS，以便穿越复杂的网络到达认证服务器。

基于端口的网络接入控制将设备端为客户端提供服务的端口分为两个虚端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递EAP认证报文。受控端口在授权状态下处于连通状态，用于传递业务报文；受控端口在非授权状态下处于关闭状态，禁

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

23

止传递任何报文。

在交换机的802.1x的应用环境中，交换机作为接入控制单元；用户接入设备即是带有802.1x客户端软件的设备；认证服务器一般驻留在运营商的AAA中心，采用Radius服务器。

针对应用环境中存在一个物理端口下挂接多个用户接入设备的情况，基于端口的802.1x认证不能区分各个用户接入设备，导致认证作用大打折扣。交换机实现了安全性和管理性更强的基于MAC地址的802.1x认证功能，对于同一物理端口下的用户接入设备，只有通过了认证的用户接入设备才能够接入网络，没有通过认证的用户接入设备不能接入网络。这样即使接入设备的一个物理端口下挂接多个终端，交换机仍然可以对每个用户接入设备进行单独认证和管理。

交换机最大认证用户数可以达到4000人，推荐使用认证用户数不超过2000人。

2.2 802.1x配置

802.1x配置任务序列如下： 1. 使能交换机的802.1x功能； 2. 接入控制单元的属性配置 1) 配置端口的授权状态

2) 配置端口的接入控制方式：基于MAC地址还是基于端口 3) 配置交换机802.1x的扩展功能

3. 与Supplicant (用户接入设备)相关的属性配置（可选） 4. 与RADIUS服务器相关的属性配置 1) 配置RADIUS认证密钥 2) 配置RADIUS服务器 3) 配置RADIUS服务的参数

1.使能交换机的802.1x功能 命令 全局配置模式 aaa enable no aaa enable aaa-accounting enable no aaa-accounting enable dot1x enable no dot1x enable 解释 使能交换机的AAA认证功能；本命令的no操作为关闭交换机的AAA认证功能。 使能交换机的计费功能；本命令的no操作为关闭交换机的计费功能。 使能交换机全局及端口的802.1x功能；本命令的no操作为关闭802.1x功能。 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

24

2.接入控制单元的属性配置 1) 配置端口的授权状态 命令 端口配置模式 dot1x horized } no dot1x port-control 2) 配置端口的接入控制方式 命令 端口配置模式 dot1x port-method {macbased 解释 | 设置端口的接入控制方式；本命令的no操作用来恢复基于MAC地址的接入控制方式。 macbased 设置指定端口最多允许接入的用户数；本命令的no操作为恢复缺省的最多允许1个用户。 port-control 设置端口的802.1x授权状态，本命令的no操作用来恢复缺省配置。 解释 {auto|force-authorized|force-unautportbased} no dot1x port-method dot1x no dot1x max-user macbased 3) 配置交换机802.1x的扩展功能 命令 全局配置模式 dot1x macfilter enable no dot1x macfilter enable dot1x accept-mac max-user 解释 打开交换机802.1x的地址过滤功能；本命令的no操作为关闭802.1x的地址过滤功能。 添加802.1x的地址过滤表的表项；本命令的no操作为删除802.1x的地址过滤表的表项。 打开交换机EAP中继的认证方式；本命令的no 操作为采用EAP本地终结的认证方式。 [interface ] no dot1x accept-mac [interface ] dot1x eapor enable no dot1x eapor enable

3. 与Supplicant (用户接入设备)相关的属性配置 命令 全局配置模式 解释 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

25

设置交换机在没有收到supplicant回应而dot1x max-req no dot1x max-req dot1x re-authentication no dot1x re-authentication no dot1x timeout quiet-period dot1x timeout re-authperiod no dot1x timeout re-authperiod dot1x timeout tx-period no dot1x timeout tx-period 特权配置模式 dot1x

4.与Authentication Server（RADIUS服务器）相关的属性配置 1) 配置RADIUS认证密钥 命令 全局配置模式 radius-server key no radius-server key 2) 配置RADIUS Server 命令 全局配置模式 radius-server authentication host [[port 配置RADIUS认证服务器的IP或者IPv6地址和监听端口号；本命令的no操作为删解释 解释 设置RADIUS服务器的密钥；本命令的no操作为删除RADIUS服务器的密钥。 re-authenticate 重新启动认证前，发送EAP-request/MD5帧的最大次数；本命令的no操作用来恢复缺省值。 设置允许对supplicant进行周期性重认证；本命令的no操作用来关闭该功能。 间；本命令的no操作用来恢复缺省值。 设置交换机对supplicant重新认证的时间间隔；本命令的no操作用来恢复缺省值。 设置交换机对supplicant重发dot1x timeout quiet-period 设置在端口认证失败后保持静默状态的时EAP-request/identity帧的时间间隔；本命令的no操作用来恢复缺省值。 [interface 设置对所有端口或某个指定端口进行802.1x重认证（不须等待超时）。 ] {|} {}] [primary]] no radius-server authentication host 除RADIUS认证服务器。 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利 26

radius-server accounting host [[port 配置RADIUS计费服务器的IP或者IPv6地址和监听端口号；本命令的no操作为删{|} {}] [primary]] 3) 配置RADIUS服务参数 命令 全局配置模式 radius-server dead-time no radius-server dead-time radius-server retransmit no radius-server retransmit radius-server timeout no radius-server timeout 解释 配置RADIUS服务器down机后的恢复时间；本命令的no操作为恢复缺省配置。 配置RADIUS重传次数；本命令的no操作为恢复缺省配置。 配置RADIUS服务器的超时定时器；本命令的no操作为恢复缺省配置。 no radius-server accounting host 除RADIUS计费服务器。 2.3 802.1x应用举例

10.1.1.210.1.1.1Radius Server10.1.1.3

图 2-2 IEEE802.1x配置举例拓扑图

计算机连接到交换机的端口1/2上，端口1/2开启IEEE802.1x认证功能，接入方式采用缺省的基于MAC地址认证方式。交换机的IP地址设置为10.1.1.2，并将除端口1/2以外的任意一个端口与RADIUS认证服务器相连接，RADIUS认证服务器的IP地址设置为10.1.1.3，认证、计费端口为缺省端口1812和端口1813。计算机上安装IEEE802.1x认证客户端软件，并通过使用此软件来实现IEEE802.1x认证。 配置步骤如下：

Switch(Config)#interface vlan 1

Switch(Config-if-vlan1)#ip address 10.1.1.2 255.255.255.0

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

27

Switch(Config-if-vlan1)#exit

Switch(Config)#radius-server authentication host 10.1.1.3 Switch(Config)#radius-server accounting host 10.1.1.3 Switch(Config)#radius-server key test Switch(Config)#aaa enable

Switch(Config)#aaa-accounting enable Switch(Config)#dot1x enable Switch(Config)#interface ethernet 1/2 Switch(Config-Ethernet1/2)#dot1x enable

Switch(Config-Ethernet1/2)#dot1x port-control auto Switch(Config-Ethernet1/2)#exit

2.4 802.1x排错帮助

用户在使用802.1x时，通常会遇到端口无法配置802.1x；或者802.1x认证状态为auto，用户运行802.1x的supplicant软件后，端口仍不能改变为认证通过状态的情况。可能的原因及解决建议如下：

? 如果出现端口无法配置802.1x的情况，请检查交换机的认证端口是否运行了

Spanning-tree，或者端口mac绑定，或者端口已经配置为Trunk端口、聚合端口。如果要打开端口的802.1x认证功能，则必须关闭该端口下的上述功能。

? 如果交换机配置正确，但认证仍无法通过，请检查交换机与RADIUS服务器，交换机

与802.1x客户机之间是否相互连通；检查交换机端口VLAN的配置。

? 通过查看RADIUS服务器的事件日志，判断问题的起因。在事件日志中对登录不成功

的不仅有记录还有不成功原因的提示。如事件日志显示authenticator的登录口令不对，则修改radius-server key参数；如果事件日志中显示没有该authenticator，则需在RADIUS服务器中增加该authenticator；如事件日志中提示没有该登录用户，说明用户的登录名和口令有误，输入正确的用户名和口令。

因为过于频繁的对RADIUS的数据进行操作，如频繁调用show aaa的几个命令， RADIUS数据的共享可能导致用户无法通过认证，建议尽量少对RADIUS的数据进行操作；如果用户在使用中还遇到了重认证时被强制下线，也可能是因为过于频繁的使用RADIUS数据而导致在线用户重认证时得不到配置数据而认证超时，从而导致在线用户被强制下线。因此如果有用户正在进行上线认证请求时，或者有在线用户进行重认证时，建议尽量少对RADIUS数据进行操作。

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

28

本文来源：https://www.bwwdw.com/article/4wtw.html