ACL(Access Control List)访问控制列表:
 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
 分类:
 目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。
 1.标准的
 -检验源地址
  -一般允许或禁止整个协议栈
2.扩展的
 -检查源和目的地址
 -通常允许或者禁止某个具体的协议
 注:访问控制列表要绑定到路由器的接口的输入或输出方向上
 工作原理:
 通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。
 ACL 原则
 每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。   每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
 路由器ACL(华为默认允许所有通过)
 
1000-1999  预留
 
2000-2999  标准访问列表规则
 
3000-3999  扩展访问列表规则
 
4000-4099  MAC地址访问列表
 
4100-4199  以太帧协议类型访问列表
 
入站访问控制列表:先比对访问控制列表,后比对路由表
 
出站访问控制列表:先比对路由表,后比对访问控制列表
 
时间访问控制列表 
 
案例:设置时间访问控制,08:00-12:00和14:00-18:00允许访问,
 
#timerange  enable
 
#settr 08:00  12:00   14:00  18:00      设置时间范围
 
#acl 2000
 
#rule special permit source 192.168.2.0 0.0.0.255
 
注:special 指定本规则加入到时间段规则中
 
#dis clock  查看系统时间
 
#clock 09:18:00 31 03 2012  设置系统时间
 交换机ACL
 
华为匹配规则:配置优先,深度优先  (默认配置优先)
 
2000-2999 标准访问列表规则
 
3000-3999 扩展访问列表规则
 
#acl number 2000(match-order config//配置优先auto//深度优先)
 
#rule  permit source any
 
#rule  deny   source 192.168.2.100 0
 
#display  acl  all                 查看访问控制列表
 AM  access manager 访问管理
 
功能:1.端口和IP的绑定2.端口隔离
 1.端口和IP的绑定  port---ip
 #vlan 2
 #port e0/2
 #vlan 3
 #port e0/3
 #inter vlan-interface 2
 #ip add 192.168.2.254 255.255.255.0
 #interface e0/3
 #ip add 192.168.3.254 255.255.255.0
 #am ip-pool 192.168.2.43

2.端口隔离  (不是所有的交换机都支持)
 #am enable 
 #interface e0/2
 #am isolate e0/3
 ARP绑定
 为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。 
 MAC地址: 网络中被控制的计算机的MAC地址。 
 IP地址: 设定被控制计算机MAC地址的主机的IP地址。 
 绑定: 是否使能改MAC和IP的绑定匹配 
 编辑: 可以对条目进行修改或者直接删除
 #arp static 192.168.101.1  MAC地址
 AAA    (认证、授权和计费)

认证功能
AAA支持以下认证方式: 
   不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。 
   本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。 
   远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。

授权功能
AAA支持以下授权方式: 
   直接授权:对用户非常信任,直接授权通过。 
   本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。 
   RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。 
HWTACACS 授权:由TACACS服务器对用户进行授权。AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存 放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。

 案例三

需要通过交换机实现登录交换机的telnet用户进行本地认证
 

 
 
交换机配置如下:
radius scheme xxx
primary authen 192.168.100.100
key authentication 123456
user-name -formatt without-domain
accounting option
server-type huawei
quit
domain tec
radius-scheme xxx
access-limit enable 10
accouting option
quit
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.25 255.255.255.0