连云港网站建设培训班,唐山市住房和城乡建设局门户网站,广州定制网站开发,专门做网页设计网站【微|信|公|众|号#xff1a;厦门微思网络】
安全典型配置#xff08;一#xff09;使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客本例中配置的本地用户登录密码方式为irreversible-cipher#xff0c;表示对用户密码采用不可逆算法进行加密#xff0c;非法用…【微|信|公|众|号厦门微思网络】
安全典型配置一使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客本例中配置的本地用户登录密码方式为irreversible-cipher表示对用户密码采用不可逆算法进行加密非法用户无法通过解密算法特殊处理后得到密码安全性较高该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码仅能采用cipher方式表示对用户密码采用可逆算法进行加密非法用户可以通过对应的解密算法解密密文后得到密码安全性较低。设备基于这些规则进行报文匹配可以过滤出特定的报文并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。https://blog.csdn.net/XMWS_IT/article/details/133700430?spm1001.2014.3001.5501
安全典型配置二使用ACL限制用户在特定时间访问特定服务器的权限_厦门微思网络的博客-CSDN博客访问控制列表ACLAccess Control List是由一条或多条规则组成的集合。所谓规则是指描述报文匹配条件的判断语句这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器规则是过滤器的滤芯。设备基于这些规则进行报文匹配可以过滤出特定的报文并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式可以将ACL分为基本ACL、高级ACL、二层ACL等种类。https://xmws-it.blog.csdn.net/article/details/133791003?spm1001.2014.3001.5502
ACL简介
访问控制列表ACLAccess Control List是由一条或多条规则组成的集合。所谓规则是指描述报文匹配条件的判断语句这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器规则是过滤器的滤芯。设备基于这些规则进行报文匹配可以过滤出特定的报文并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式可以将ACL分为基本ACL、高级ACL、二层ACL等种类。二层ACL根据以太网帧头信息来定义规则如源MAC地址、目的MAC地址、VLAN、二层协议类型等对IPv4和IPv6报文进行过滤。与基本ACL和高级ACL相比这两类ACL基于三层、四层信息进行报文过滤而二层ACL基于二层信息进行报文过滤。例如当希望对不同MAC地址、不同VLAN的报文进行过滤时则可以配置二层ACL。 本例就是将二层ACL应用在流策略模块使设备可以对特定MAC地址的用户的报文进行过滤达到禁止该用户上网的目的。 配置注意事项
本举例适用于S系列交换机所有产品的所有版本。 组网需求
如图1所示Switch作为网关设备下挂用户PC与各个子网之间路由可达。管理员发现PC1MAC地址xxxx-xxxx-xxx1用户是非法用户要求禁止该用户上网。 图1 使用二层ACL禁止特定用户上网示例组网图 配置思路
采用如下的思路在Switch上进行配置 配置二层ACL和基于ACL的流分类使设备对MAC地址为xxxx-xxxx-xxx1的报文进行过滤从而禁止该地址对应的用户上网。 配置流行为拒绝匹配上ACL的报文通过。 配置并应用流策略使ACL和流行为生效。 操作步骤
1、配置ACL
# 配置符合要求的二层ACL。
HUAWEI system-view
[HUAWEI] sysname Switch
[Switch] acl 4000
[Switch-acl-L2-4000] rule deny source-mac xxxx-xxxx-xxx1 ffff-ffff-ffff //禁止源MAC地址是xxxx-xxxx-xxx1的报文通过
[Switch-acl-L2-4000] quit2、配置基于ACL的流分类
# 配置流分类tc1对匹配ACL 4000的报文进行分类。
[Switch] traffic classifier tc1 //创建流分类
[Switch-classifier-tc1] if-match acl 4000 //将ACL与流分类关联
[Switch-classifier-tc1] quit3、配置流行为
# 配置流行为tb1动作为拒绝报文通过。
[Switch] traffic behavior tb1 //创建流行为
[Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过
[Switch-behavior-tb1] quit4、配置流策略
# 配置流策略tp1将流分类tc1与流行为tb1关联。
[Switch] traffic policy tp1 //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit5、应用流策略
# 由于PC1的报文从GE2/0/1进入Switch并流向Internet所以可以在接口GE2/0/1的入方向应用流策略tp1。
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向
[Switch-GigabitEthernet2/0/1] quit6、验证配置结果
# 查看ACL规则的配置信息。
[Switch] display acl 4000
L2 ACL 4000, 1 rule
Acls step is 5 rule 5 deny source-mac xxxx-xxxx-xxx1 # 查看流分类的配置信息。
[Switch] display traffic classifier user-definedUser Defined Classifier Information:Classifier: tc1Precedence: 5Operator: ORRule(s) : if-match acl 4000 Total classifier number is 1 # 查看流策略的配置信息。
[Switch] display traffic policy user-defined tp1User Defined Traffic Policy Information: Policy: tp1 Classifier: tc1 Operator: OR Behavior: tb1 Deny # 查看流策略的应用信息。
[Switch] display traffic-policy applied-record
#
------------------------------------------------- Policy Name: tp1 Policy Index: 0 Classifier:tc1 Behavior:tb1
------------------------------------------------- *interface GigabitEthernet2/0/1 traffic-policy tp1 inbound slot 2 : success
------------------------------------------------- Policy total applied times: 1.
# 【微思网络www.xmws.cn成立于2002年专业培训21年思科、华为、红帽、ORACLE、VMware等厂商认证及考试以及其他认证PMP、CISP、ITIL等】
