功能简介

将安全ACL 通过安全通道配置命令应用到全局或者接口，就表示该ACL 是一条安全通道。安全通道也是一个访问控制列表，一般的ACL 是基于接口或VLAN安装的，安全通道可以基于全局或者接口配置。报文进入到接口时，首先进行安全通道的检查，如果满足安全通道的匹配条件，将绕过接入控制比如端口安全，dot1x， IP+MAC 绑定的检查直接进入交换机。应用于全局的安全通道对所有非例外口的接口都生效。如果接口上应用了安全通道，并且还存在全局的安全通道，那么全局安全通道不在这个接口上生效。

由于应用上的需要，您可能会希望符合某些特征的报文能够绕过接入控制的检查，比如dot1x 认证前，DHCP 协议报文绕过dot1x 的入口检测，PC 在认证前申请到IP 地址。使用安全通道可以帮您达到这个目的。

一、组网需求

SW1作为用户的网关，开启安全通道功能。

二、组网拓扑

三、配置要点

1. 配置IP扩展访问列表

2. 在访问列表中添加允许目的主机10.1.1.2地址规则

3. 在访问列表中添加允许DHCP报文通过规则

4. 在dot1x受控区接口上将访问列表配置为安全通道

四、配置步骤

交换机WEB配置：

1. 基于端口安全通道：

1.1开启端口安全通道：

【网络/安全通道】-->【端口安全通道】

点击添加端口安全通道。

 

1.2 关联ACL.

点击配置ACL。

 

点击添加ACL

 

选择ACL类型，以及ACL列表。

 

点击添加ACL规则，设置访问控制。

 

如上图所示，创建三条ACL规则。

 

1.3 端口下应用安全通道

端口安全通道选择配置的ACL，应用到gi0/1端口。

 

对应的命令行配置：

sw1(config)# ip access-list extended 2000

sw1(config-exp-nacl)# permit ip any host 10.1.1.2

sw1(config-exp-nacl)#permit tcp any any eq 67

sw1(config-exp-nacl)#permit tcp any any eq 68

sw1(config-exp-nacl)#exit

sw1(config)#int gigabitEthernet 0/1

sw1(config-if-GigabitEthernet 0/1)# security access-group 2000

 

2. 基于全局安全通道：

通过【网络/安全通道】-->【全局安全通道】，打开全局安全通道开关，选择配置好的ACL（配置如上），如果需要配置例外口，点击例外口，保存配置。

 

对应的命令行配置：

sw1(config)# ip access-list extended 2000

sw1(config-exp-nacl)# permit ip any host 10.1.1.2

sw1(config-exp-nacl)#permit tcp any any eq 67

sw1(config-exp-nacl)#permit tcp any any eq 68

sw1(config-exp-nacl)#exit

sw1(config)# security global access-group 2000

sw1(config)#interface GigabitEthernet 0/3

sw1(config)#security uplink enable

sw1(config)#exit

sw1#wr

 

五、功能验证

【网络/安全通道】-->【全局安全通道】处查看配置的全局安全通道

 

【网络/安全通道】-->【端口安全通道】处查看配置的端口安全通道