华为交换机安全防范技术
华为交换机的安全准入协议(一)
华为交换机的安全准入协议(一)华为交换机的安全准入协议1. 引言该协议旨在确保华为交换机的安全准入,并规定双方在使用华为交换机时需要遵守的安全规则和标准。
2. 范围该协议适用于所有使用华为交换机的相关方,包括但不限于以下人员:•公司雇员•第三方供应商•承包商•其他希望使用华为交换机的个人或组织3. 安全准入要求以下是使用华为交换机时需遵守的安全准入要求:身份验证•必须使用唯一的个人账户进行身份验证,禁止共享账户和密码。
密码安全•密码必须遵循公司的密码策略并定期更换。
•禁止使用弱密码,包括但不限于生日、常用字母组合等。
•密码不得以明文形式传输或存储。
服务及端口访问控制•禁止通过默认或弱口令访问交换机。
•仅允许授权人员访问相关服务和端口。
•禁止非法修改、删除或关闭任何安全相关的服务或端口。
漏洞管理•及时修补或升级交换机上的安全漏洞,以确保系统的安全性。
•及时应用官方发布的安全补丁和软件更新。
日志记录•启用必要的日志记录功能,并定期检查和审查日志信息。
•禁止删除或篡改日志文件。
4. 安全违规处理对于发生安全违规行为的相关方,将按照公司的安全政策和程序进行处理,包括但不限于:•警告通知•暂停或取消相关方的使用权限•追究相关方的法律责任5. 附则该协议的内容在必要时可进行修改和更新,相关方将被通知并需要重新确认接受修改后的协议内容。
6. 生效与解释该协议自双方签署之日起生效,并适用于所有使用华为交换机的相关方。
在协议执行过程中产生的任何争议,双方应友好协商解决;若协商不成,则提交有管辖权的法院进行裁决。
以上为按照要求所写的华为交换机的安全准入协议模板,如有需要可根据实际情况进行修改。
华为Eudemon防火墙基础概念、技术、工作模式
防火墙基本概念--多通道协议
多通道协议 是指某个应用在进行通讯或提供服务时需要建立两个以上的会话 (通道),其中有一个控制通道,其他的通道是根据控制通道中 双方协商的信息动态创建的,一般我们称之为数据通道或子通道; 多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理, 因为数据通道的端口是不固定的(协商出来的)其报文方向也是 不固定的
接口2
DMZ区域
接口1
Untrust区域 Local区域
Trust区域
接口3
防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域
防火墙基本概念——安全区域 (Zone)续
Eudemon防火墙上预定义了4个安全区域:本地区域Local(指 防火墙本身)、受信区域Trust、非军事化区域DMZ (Demilitarized Zone)、非受信区域Untrust,用户可以根据需 要自行添加新的安全区域
Server
DMZ 区域 LAN
接口2
Trust 区域
Internet
Untrust 区域
Local 区域
外部网络
接口 1
接口3
PC LAN
PC
内部网络
根据防火墙的内部划分的安全区域关系,确定其所连接网络的安全区域
防火墙基本概念——安全区域(Zone) 配置
- # 系统预定义的安全区域(例如trust、local、dmz和untrust),这些区域具有
Port 192,168,0,1,89,3
200 Port Command OK
200 Port Command OK
RETR Sample.txt
RETR Sample.txt
150 Opening ASCII connection
华为交换机防ARP攻击配置手册
ARP防攻击配置下表列出了本章所包含的内容。
如果您需要……请阅读……了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置了解ARP报文防攻击的原理和配置ARP报文防攻击配置了解ARP协议防攻击综合配置举例ARP防攻击配置举例3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制,维护起来耗费人力,且极易受到攻击。
对于静态配置IP地址的网络,目前只能通过配置静态ARP方式防止ARP表项被非法修改,但是配置繁琐,需要花费大量人力去维护,极不方便;对于动态配置IP地址的网络,攻击者通过伪造其他用户发出的ARP报文,篡改网关设备上的用户ARP表项,可以造成其他合法用户的网络中断。
图3-1 ARP地址欺骗攻击示意图如图3-1所示,A为合法用户,通过交换机G与外界通讯:攻击者B通过伪造A 的ARP报文,使得G设备上A的ARP表项中的相应信息被修改,导致A与G的通讯失败。
对于动态ARP地址欺骗攻击方式,S9500系列交换机可通过以下方法进行防御。
1. 固定MAC地址对于动态ARP的配置方式,交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改,直到此ARP表项老化之后才允许此ARP表项更新MAC地址,以此来确保合法用户的ARP表项不被修改。
固定MAC有两种方式:Fixed-mac和Fixed-all。
Fixed-mac方式;不允许通过ARP学习对MAC地址进行修改,但允许对VLAN和端口信息进行修改。
这种方式适用于静态配置IP地址,但网络存在冗余链路的情况。
当链路切换时,ARP表项中的端口信息可以快速改变。
Fixed-all方式;对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。
这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。
交换机安全防范技术
交换机安全防范技术在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严峻,影响越来越猛烈。
交换机作为局域网信息交换的主要设备,特殊是核心、汇聚交换机承载着极高的数据流量,在突发特别数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些平安防范技术,网络管理人员应当依据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的平安防范技术和配置方法。
以下您将学到广播风暴掌握技术、MAC地址掌握技术、DHCP掌握技术及ACL技术。
广播风暴掌握技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避开网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省状况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省状况下,系统全部VLAN不做广播风暴抑制,即max-ratio 值为100%。
MAC地址掌握技术以太网交换机可以利用MAC地址学习功能猎取与某端口相连的网段上各网络设备的MAC 地址。
华为交换机安全基线
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
基于华为ENSP和Vmware Workstation软件模拟MAC洪泛攻击与防御的实验综述报告
Experience Exchange经验交流DCW209数字通信世界2021.040 引言交换机MAC 泛洪攻击是利用工具不断大量伪造MAC 地址,利用交换机学习MAC 地址没有安全验证机制这一漏洞,攻击者利用虚假物理地址欺骗交换机,交换机的MAC 地址表被填满后,交换机将以广播的方式工作。
攻击者可在网络内任何一台主机上抓取数据包,通过对数据包解密从而窃取重要信息,从而引发交换机的MAC 泛洪攻击事件。
交换机开启端口安全可以在很大程度上防范MAC 泛洪攻击。
本文利用VMware Workstation 和eNSP 工具模拟窃取信息并通过给出安全防御方法。
1 实验内容1.1 实验目标了解交换机MAC 洪泛攻击的原理,并能对其进行有效的防御,掌握攻击步骤和防御方法并能应用到真实环境中。
1.2 实验场景及任务描述某公司准备搭建FTP 服务,用于内部员工进行文件上传和下载等工作需要。
出于安全方面考虑要求设置FTP 服务的用户名和密码。
作为网络安全管理员的你,提出了安全不仅是设置用户名和密码访问FTP 服务就可以解决的,还需要对内部网络设备安全进行配置。
任务一:在BT5上使用攻击工具macof 对网络开展MAC 泛洪攻击,并利用协议分析软件Wireshark 捕获网络中明文传输的FTP 服务器的登录用户名和密码。
任务二:对交换机开启端口安全,阻止攻击机通过其级联端口与交换机通信,防御攻击。
1.2.1 实验拓扑图,见下图1。
图1 实验拓扑图基于华为ENSP 和Vmware Workstation 软件模拟MAC洪泛攻击与防御的实验综述报告董良杰(安徽城市管理职业学院,安徽 合肥 230050)摘要:通过VMware Workstation 模拟操作系统、华为 eNSP 模拟网络环境组成的模拟环境对学生直观的讲解攻击的过程和如何防御,加深学生对交换机原理的理解。
同时可以有效解决实验室设备数量功能等受限的问题,方便学生随时学习掌握。
华为网络安全解决方案
华为网络安全解决方案
华为网络安全解决方案(以下简称华为解决方案)是一套综合性的网络安全解决方案,旨在帮助客户提供全面的网络安全防护和威胁应对能力。
华为解决方案包括以下几方面内容:
1. 安全感知与情报分析:华为解决方案通过实时监测和感知网络中的异常活动,并进行全面的情报分析,帮助客户及时发现和识别潜在的网络威胁。
2. 边界防护:华为解决方案提供了多层次的边界防护机制,包括防火墙、入侵检测与防御系统(IDS/IPS)、虚拟专用网(VPN)等,以保护客户网络免受外部攻击和未经授权的访问。
3. 数据中心安全:华为解决方案通过采用安全访问控制、云安全防护、虚拟化环境安全等技术手段,确保客户数据中心的安全性和可靠性。
4. 终端安全:华为解决方案提供了终端安全管理机制,包括终端防火墙、反病毒软件、加密通讯等,以提供全面的终端安全保护。
5. 应用安全:华为解决方案通过应用层面的安全防护,包括访问控制、流量控制、应用识别等,保护客户的关键业务应用免受攻击和滥用。
6. 安全管理与运营:华为解决方案提供了全面的安全管理和运
营机制,包括安全事件管理、安全策略管理、日志审计等,帮助客户实现安全运营和快速响应网络安全事件。
值得注意的是,华为解决方案提供了高度灵活和可扩展的架构,可根据客户的具体需求和规模进行定制化配置和部署。
通过华为解决方案,客户可以大大提高网络的安全性和稳定性,降低网络安全风险,并有效应对各类网络威胁。
华为交换机测试方案
华为交换机测试方案1. 引言华为交换机是一种用于构建企业网络的关键设备,其功能涵盖了数据转发、安全防护、流量控制等多个方面。
为了确保华为交换机的性能稳定和安全可靠,需要进行一系列的测试工作。
本文档旨在介绍华为交换机测试方案,包括测试目标、测试环境、测试策略和测试方法。
2. 测试目标华为交换机测试的主要目标是评估其性能、稳定性和安全性,确保其可以满足企业网络的需求。
具体的测试目标包括: - 性能测试:评估华为交换机的数据转发能力、吞吐量和延迟等性能指标。
- 稳定性测试:验证华为交换机在长时间运行和高负载情况下的稳定性。
- 安全性测试:测试华为交换机的安全功能,如访问控制、防攻击和数据加密等。
3. 测试环境为了进行有效的测试,我们需要搭建一个符合实际情况的测试环境。
测试环境应包括以下组成部分: - 华为交换机:选取适合测试的华为交换机设备,并确保其与实际生产环境的硬件和软件配置相似。
- 测试服务器:用于模拟网络流量和执行性能测试的服务器,建议使用高性能的服务器硬件。
- 测试工具:选择适合的测试工具,如Spirent TestCenter、Ixia和Wireshark等,用于生成流量和分析测试结果。
- 网络设备:搭建适当数量的网络设备,如路由器和服务器,以模拟真实的网络环境。
4. 测试策略华为交换机测试需要制定合理的测试策略,以确保全面覆盖各项测试目标。
以下是几个重要的测试策略建议: - 冒烟测试:在进行详细测试之前,首先进行冒烟测试以验证华为交换机是否基本可用。
- 压力测试:通过增加并发用户和流量量,测试华为交换机在高负载情况下的性能和稳定性。
- 安全测试:通过模拟攻击和验证访问控制策略,测试华为交换机的安全功能。
- 协议测试:验证华为交换机对不同网络协议的兼容性和性能。
5. 测试方法在进行具体的测试时,我们需要选择合适的测试方法和工具。
以下是几个常用的华为交换机测试方法:5.1 性能测试性能测试主要用于评估华为交换机的数据转发能力、吞吐量和延迟等性能指标。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。
交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。
以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。
广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。
MAC地址控制技术以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。
对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。
如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。
MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。
TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
1.设置最多可学习到的MAC地址数通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。
如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。
缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
在以太网端口视图下进行下列配置:mac-address max-mac-count count2.设置系统MAC地址老化时间设置合适的老化时间可以有效实现MAC地址老化的功能。
用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。
如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。
如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。
一般情况下,推荐使用老化时间age的缺省值300秒。
在系统视图下进行下列配置: mac-address timer { aging age | no-aging }使用参数no-aging时表示不对MAC地址表项进行老化。
3.设置MAC地址表的老化时间这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。
在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。
如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。
此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。
缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。
在系统视图下进行下列配置:lock-port mac-aging { age-time | no-age }DHCP控制技术DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。
但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。
1.三层交换机的DHCP Relay技术早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。
因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。
DHCP Relay的引入解决了这一难题:局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。
这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。
DHCP Relay配置包括:(1)配置IP 地址为了提高可靠性,可以在一个网段设置主、备DHCP Server。
主、备DHCP Server构成了一个DHCP Server组。
可以通过下面的命令指定主、备DHCP Server 的IP地址。
在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ](2)配置VLAN接口对应的组在VLAN接口视图下进行下列配置:dhcp-server groupNo(3)使能/禁止VLAN 接口上的DHCP安全特性使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。
在VLAN接口视图下进行下列配置:address-check enable(4)配置用户地址表项为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。
如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的以太网交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC 地址的绑定请求。
在系统视图下进行下列配置:dhcp-security static ip_address mac_address2.其它地址管理技术在二层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。
其中信任端口连接DHCP服务器或其他交换机的端口;不信任端口连接用户或网络。
不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。
(1)开启/关闭交换机DHCP-Snooping 功能缺省情况下,以太网交换机的DHCP-Snooping功能处于关闭状态。
在系统视图下进行下列配置,启用DHCP-Snooping功能:dhcp-snooping(2)配置端口为信任端口缺省情况下,交换机的端口均为不信任端口。
在以太网端口视图下进行下列配置:dhcp-snooping trust(3配置VLAN接口通过DHCP方式获取IP地址在VLAN 接口视图下进行下列配置:ip address dhcp-alloc(4)访问管理配置——配置端口/IP地址/MAC地址的绑定可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。
ACL(访问控制列表)技术为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(Access Control List,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
访问控制列表又可分为以下几种类型。
基本访问控制列表:根据三层源IP制定规则,对数据包进行相应的分析处理。
高级访问控制列表:根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service优先级、IP优先级和DSCP优先级。
二层访问控制列表:根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
用户自定义访问控制列表:根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配,对数据报文作出相应的处理。
正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。
访问控制列表在网络设备中有着广泛的应用,访问控制列表配置、启用包括以下几个步骤,最好依次进行,其中前两个步骤可以不用配置,采用默认值。
(1配置时间段在系统视图下使用time-range命令配置时间段。
例如,如果想在每周的上班时间8:00–16:00控制用户访问,可以使用下面的命令:time-range ourworingtime 8:00 to 16:00 working-day(2选择交换机使用的流分类规则模式交换机只能选择一种流分类规则模式:二层ACL模式或者三层ACL模式。