下载此文档

S3550-软件配置指南配置安全ACLs.doc


文档分类:资格/认证考试 | 页数:约42页 举报非法文档有奖
1/42
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/42 下载此文档
文档列表 文档介绍
配置安全ACLs本章介绍如何通过接入控制列表(ACLs在您的交换机上配置网络安全属性。通过ACLs,您可以对进入到锐捷网络公司S3550系列交换机的输入或者输出数据流进行过滤。数据流的定义可以基于网络地址、TCP/UDP的应用等。您可以选择对于符合过滤标准的流是丢弃还是允许通过,因此您必须知道您的网络是如何设计的,以及交换机接口是如何在您的过滤设备上使用的。要通过ACLs配置网络安全属性,您只有通过CLI命令(可以通过串口、或Web来完成您的配置。本章内容包括:概述配置安全ACLs显示ACLs配置概述ACLs、安全ACLs、QosACLs及ACEACLs的全称为接入控制列表(AccessControlLists,按照其使用的范围,可以分为安全ACLs和QoSACLs。对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。安全ACLs在数据流通过交换机时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(conditions决定是允许其通过(permit还是丢弃(deny。对于输入方向,安全ACLs在允许数据流通过之后,您还可以通过QoS策略对符合QoSACLs匹配条件的数据流进行优先级策略处理(更具体的介绍,详见“配置QoS”。总的来说,安全ACLs用于控制哪些数据流允许从交换机通过,QoS策略在这些允许通过的数据流中再根据QoSACLs进行优先级分类和处理。ACLs由一系列的表项组成,我们称之为接入控制列表表项(AccessControlEntry:ACE。每个接入控制列表表项都申明了满中该表项的匹配条件及行为。下面我们举例说明交换机、交换机接口、ACL和ACE的关系,由于该例子比较典型,因此将在本章中全文引用:有一个国家,A国,与B国、C国、D国和E国相邻。如图17-1:图17-1:A国与B、C、D、E国相邻假设A国的邻国人员要出国,必须经由A国海关过境。即B、C、D、E任一国家要到另一个国家,必须经由与A国与本国的直通海关入境后,经A国其它海关出境到达目的地。A国对经由本国海关过境人员有严格的身份检查限制,其入境时的过境检查规则如图17-2:携带危险物品者->拒绝过境B国持旅游护照到D国人员->允许过境C国持留学护照到E国留学人员->允许过境其它所有人员->拒绝过境图17-2:A国的海关过境规则A国的每个海关均有四个出关通道,每个出关通道每天均有出关人数限制。因此A国在入境时还根据不同人员的身份进行分类,以便出关时给予不同的待遇。如图17-3:B国持旅游护照的老年人B国持旅游护照妇女 C国路经本国到D国留学人员其它人员图17-3:A国的入境身份识别规则在上面所举的例子中:A国就相当于交换机,其四个海关相当于交换机的四个接口,该国的<海关入境规则>就是安全ACL,其<入境身份识别规则>就是QoSACL。<海关入境规则>的每一条细则就是ACE,而每一条细则的身份识别条件就是ACE的匹配条件,拒绝过境和允许过境两种待遇就相当于ACE的行为:permit、deny。在图一中:<海关入境规则>的第一条细则为:携带危险物品者->拒绝过境。这里“携带危险物品者”就相当于ACE的匹配条件,而“拒绝过境”就是行为(deny,相应的,第二条细则的“B国持旅游护照到D国人员”是匹配条件,“允许入境”为行为(permit。同理,图二的<入境身份识别规则>也是ACL,其每一条细则也是ACE,由于是对已入境人员的限制,因此其每一条细则隐含的待遇均是:允许过境,相应的QoSACL也要求其ACE的行为为permit。在S3550系列交换机中,您不能在QoSACL中定义一个行为为deny的ACE。在上面的所举的例子中,A国还可以根据邻国的友好程度制定不同的海关过境规则分别适用于不同的海关。如,A国与E国为兄弟国家,特为其制定<针对兄弟国家E的海关过境规则>。。。,这样<海关过境规则>只适用于海关1-3,而<针对兄弟国家E的海关过境规则>只适用于海关4。同理,对于您也可以针对不同的接口,定义不同的ACL。理解输入ACL、输出ACL在上面所举的例子中,A国的<海关过境规则>只在入关时检查入关人员的身份,而A国如果想加强其海关安全,则A国还可以在所有人员出关时检查出关人员的身份。或者A国在入关时不检查入关人员的身份,但在出关时检查出关人员的身份。输入ACL,类似于在入关时检查的<海关过境规则>,它在交换机接口接收到报文时,检查报文是否与该接口输入ACL的的某一条ACE相匹配,而输出ACL类似于在出关时检查的<海关过境规则>,它在交换机准备从某一个接口输出报文时,检查报文是否与该接口输出ACL的某一条ACE相匹配。理解过滤域模板(masks和规则(rules为了理解过滤域模板,我们还是以上面所举的例子来说明如下:A国的

S3550-软件配置指南配置安全ACLs 来自淘豆网www.taodocs.com转载请标明出处.

非法内容举报中心
文档信息
  • 页数42
  • 收藏数0 收藏
  • 顶次数0
  • 上传人q1188830
  • 文件大小136 KB
  • 时间2019-12-13