华为交换机安全防范技术
华为交换机的安全准入协议(一)
华为交换机的安全准入协议(一)华为交换机的安全准入协议1. 引言该协议旨在确保华为交换机的安全准入,并规定双方在使用华为交换机时需要遵守的安全规则和标准。
2. 范围该协议适用于所有使用华为交换机的相关方,包括但不限于以下人员:•公司雇员•第三方供应商•承包商•其他希望使用华为交换机的个人或组织3. 安全准入要求以下是使用华为交换机时需遵守的安全准入要求:身份验证•必须使用唯一的个人账户进行身份验证,禁止共享账户和密码。
密码安全•密码必须遵循公司的密码策略并定期更换。
•禁止使用弱密码,包括但不限于生日、常用字母组合等。
•密码不得以明文形式传输或存储。
服务及端口访问控制•禁止通过默认或弱口令访问交换机。
•仅允许授权人员访问相关服务和端口。
•禁止非法修改、删除或关闭任何安全相关的服务或端口。
漏洞管理•及时修补或升级交换机上的安全漏洞,以确保系统的安全性。
•及时应用官方发布的安全补丁和软件更新。
日志记录•启用必要的日志记录功能,并定期检查和审查日志信息。
•禁止删除或篡改日志文件。
4. 安全违规处理对于发生安全违规行为的相关方,将按照公司的安全政策和程序进行处理,包括但不限于:•警告通知•暂停或取消相关方的使用权限•追究相关方的法律责任5. 附则该协议的内容在必要时可进行修改和更新,相关方将被通知并需要重新确认接受修改后的协议内容。
6. 生效与解释该协议自双方签署之日起生效,并适用于所有使用华为交换机的相关方。
在协议执行过程中产生的任何争议,双方应友好协商解决;若协商不成,则提交有管辖权的法院进行裁决。
以上为按照要求所写的华为交换机的安全准入协议模板,如有需要可根据实际情况进行修改。
华为交换机防ARP攻击配置手册
ARP防攻击配置下表列出了本章所包含的内容。
如果您需要……请阅读……了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置了解ARP报文防攻击的原理和配置ARP报文防攻击配置了解ARP协议防攻击综合配置举例ARP防攻击配置举例3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制,维护起来耗费人力,且极易受到攻击。
对于静态配置IP地址的网络,目前只能通过配置静态ARP方式防止ARP表项被非法修改,但是配置繁琐,需要花费大量人力去维护,极不方便;对于动态配置IP地址的网络,攻击者通过伪造其他用户发出的ARP报文,篡改网关设备上的用户ARP表项,可以造成其他合法用户的网络中断。
图3-1 ARP地址欺骗攻击示意图如图3-1所示,A为合法用户,通过交换机G与外界通讯:攻击者B通过伪造A 的ARP报文,使得G设备上A的ARP表项中的相应信息被修改,导致A与G的通讯失败。
对于动态ARP地址欺骗攻击方式,S9500系列交换机可通过以下方法进行防御。
1. 固定MAC地址对于动态ARP的配置方式,交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改,直到此ARP表项老化之后才允许此ARP表项更新MAC地址,以此来确保合法用户的ARP表项不被修改。
固定MAC有两种方式:Fixed-mac和Fixed-all。
Fixed-mac方式;不允许通过ARP学习对MAC地址进行修改,但允许对VLAN和端口信息进行修改。
这种方式适用于静态配置IP地址,但网络存在冗余链路的情况。
当链路切换时,ARP表项中的端口信息可以快速改变。
Fixed-all方式;对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。
这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。
Firehunter APT沙箱安全技术方案
取其中的文件进行未知威胁检测。
从而提升整个网络的安全性。
➢ 网络管理员通过查看FireHunter提供的威胁分析 ➢ 减少安全投资,互联网出口发现威胁,全局管控
报告,制定相应的安全策略,从而进一步提升
整个网络的安全性。
沙箱全场景部署方案
FireHunter6000
数据中心服务器区
FireHunter6000
数据中心边界:重点保护服务器核心 资产,发现内网潜伏的攻击、恶意扫 描,渗透等
核心部门边界:防范内网可疑文件传 播,横向感染核心部门
沙箱全场景部署方案
DMZ区
Web服务器
E
邮件服务器 E 应用服务器 EE
流量/ECA探针
服务器区
E
E
FireHunter WAF
AIFW
FireHunter FireHunter
Source Destination Application URL
Time 0:00:19
File Information
307960772bb54ae42d87e7ad8b1c600ded893fa5
Malware Session Information
192.168.1.200:32854
202.117.3.32:80
传统安全设备基于签名检测
• 针对未知恶意文件无检测能力 • 基于已知样本 • 代码签名匹配 • 具备检测滞后性 • 未知恶意文件样本未知、无法生成签名
基于签名威胁检测机制仍然扮演着重要的角色, 实际使用中可检测出60%-70%威胁事件,且检测 效率较高。
20% 80%
FireHunter检测机制
FireHunter6000
55%
交换机安全防范技术
交换机安全防范技术在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严峻,影响越来越猛烈。
交换机作为局域网信息交换的主要设备,特殊是核心、汇聚交换机承载着极高的数据流量,在突发特别数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些平安防范技术,网络管理人员应当依据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的平安防范技术和配置方法。
以下您将学到广播风暴掌握技术、MAC地址掌握技术、DHCP掌握技术及ACL技术。
广播风暴掌握技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避开网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省状况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省状况下,系统全部VLAN不做广播风暴抑制,即max-ratio 值为100%。
MAC地址掌握技术以太网交换机可以利用MAC地址学习功能猎取与某端口相连的网段上各网络设备的MAC 地址。
华为交换机安全配置基线
华为交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全(可选) (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。
华为交换机安全基线
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
基于华为ENSP和Vmware Workstation软件模拟MAC洪泛攻击与防御的实验综述报告
Experience Exchange经验交流DCW209数字通信世界2021.040 引言交换机MAC 泛洪攻击是利用工具不断大量伪造MAC 地址,利用交换机学习MAC 地址没有安全验证机制这一漏洞,攻击者利用虚假物理地址欺骗交换机,交换机的MAC 地址表被填满后,交换机将以广播的方式工作。
攻击者可在网络内任何一台主机上抓取数据包,通过对数据包解密从而窃取重要信息,从而引发交换机的MAC 泛洪攻击事件。
交换机开启端口安全可以在很大程度上防范MAC 泛洪攻击。
本文利用VMware Workstation 和eNSP 工具模拟窃取信息并通过给出安全防御方法。
1 实验内容1.1 实验目标了解交换机MAC 洪泛攻击的原理,并能对其进行有效的防御,掌握攻击步骤和防御方法并能应用到真实环境中。
1.2 实验场景及任务描述某公司准备搭建FTP 服务,用于内部员工进行文件上传和下载等工作需要。
出于安全方面考虑要求设置FTP 服务的用户名和密码。
作为网络安全管理员的你,提出了安全不仅是设置用户名和密码访问FTP 服务就可以解决的,还需要对内部网络设备安全进行配置。
任务一:在BT5上使用攻击工具macof 对网络开展MAC 泛洪攻击,并利用协议分析软件Wireshark 捕获网络中明文传输的FTP 服务器的登录用户名和密码。
任务二:对交换机开启端口安全,阻止攻击机通过其级联端口与交换机通信,防御攻击。
1.2.1 实验拓扑图,见下图1。
图1 实验拓扑图基于华为ENSP 和Vmware Workstation 软件模拟MAC洪泛攻击与防御的实验综述报告董良杰(安徽城市管理职业学院,安徽 合肥 230050)摘要:通过VMware Workstation 模拟操作系统、华为 eNSP 模拟网络环境组成的模拟环境对学生直观的讲解攻击的过程和如何防御,加深学生对交换机原理的理解。
同时可以有效解决实验室设备数量功能等受限的问题,方便学生随时学习掌握。
华为交换机防止同网段ARP欺骗攻击配置案例
华为交换机防止同网段ARP欺骗攻击配置案例1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。
PC-B上装有ARP攻击软件。
现在需要对S3026_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。
1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。
Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
1.2 三层交换机实现防攻击1.2.1 配置组网图2 三层交换机防ARP攻击组网1.2.2 防攻击配置举例对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP 地址100.1.1.5的16进制表示形式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。
交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。
以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。
广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。
MAC地址控制技术以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。
对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。
如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。
MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。
TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
1.设置最多可学习到的MAC地址数通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。
如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。
缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
在以太网端口视图下进行下列配置:mac-address max-mac-count count2.设置系统MAC地址老化时间设置合适的老化时间可以有效实现MAC地址老化的功能。
用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。
如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。
如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。
一般情况下,推荐使用老化时间age的缺省值300秒。
在系统视图下进行下列配置: mac-address timer { aging age | no-aging }使用参数no-aging时表示不对MAC地址表项进行老化。
3.设置MAC地址表的老化时间这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。
在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。
如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。
此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。
缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。
在系统视图下进行下列配置:lock-port mac-aging { age-time | no-age }DHCP控制技术DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。
但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。
1.三层交换机的DHCP Relay技术早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。
因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。
DHCP Relay的引入解决了这一难题:局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。
这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。
DHCP Relay配置包括:(1)配置IP 地址为了提高可靠性,可以在一个网段设置主、备DHCP Server。
主、备DHCP Server构成了一个DHCP Server组。
可以通过下面的命令指定主、备DHCP Server 的IP地址。
在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ](2)配置VLAN接口对应的组在VLAN接口视图下进行下列配置:dhcp-server groupNo(3)使能/禁止VLAN 接口上的DHCP安全特性使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。
在VLAN接口视图下进行下列配置:address-check enable(4)配置用户地址表项为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。
如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的以太网交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC 地址的绑定请求。
在系统视图下进行下列配置:dhcp-security static ip_address mac_address2.其它地址管理技术在二层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。
其中信任端口连接DHCP服务器或其他交换机的端口;不信任端口连接用户或网络。
不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。
(1)开启/关闭交换机DHCP-Snooping 功能缺省情况下,以太网交换机的DHCP-Snooping功能处于关闭状态。
在系统视图下进行下列配置,启用DHCP-Snooping功能:dhcp-snooping(2)配置端口为信任端口缺省情况下,交换机的端口均为不信任端口。
在以太网端口视图下进行下列配置:dhcp-snooping trust(3)配置VLAN接口通过DHCP方式获取IP地址在VLAN 接口视图下进行下列配置:ip address dhcp-alloc(4)访问管理配置——配置端口/IP地址/MAC地址的绑定可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。
ACL(访问控制列表)技术为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(Access Control List,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
访问控制列表又可分为以下几种类型。
基本访问控制列表:根据三层源IP制定规则,对数据包进行相应的分析处理。
高级访问控制列表:根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service)优先级、IP优先级和DSCP优先级。
二层访问控制列表:根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
用户自定义访问控制列表:根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配,对数据报文作出相应的处理。
正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。
访问控制列表在网络设备中有着广泛的应用,访问控制列表配置、启用包括以下几个步骤,最好依次进行,其中前两个步骤可以不用配置,采用默认值。
(1)配置时间段在系统视图下使用time-range命令配置时间段。
例如,如果想在每周的上班时间8:00–16:00控制用户访问,可以使用下面的命令:time-range ourworingtime 8:00 to 16:00 working-day(2)选择交换机使用的流分类规则模式交换机只能选择一种流分类规则模式:二层ACL模式或者三层ACL模式。