• Dest.Subnet Mask显示目标的子网掩码。 • Action 选择符合 ACL 规则时转发帧还是拒绝帧: – Forward 如果帧符合 ACL规则,则转发该帧。 – Discard 如果帧符合 ACL 规则,则不转发该帧。 • Source Port Min.显示源端口可能的Zui小端口号。 • Source Port Max. 显示源端口可能的Zui大端口号。 • Dest.Port Min.显示目标端口可能的Zui小端口号。 • Dest.Port Max. 显示目标端口可能的Zui大端口号。 • Message Type显示消息类型以决定消息的格式。 • Message Code 显示消息代码以指定消息的功能。 • DSCP 显示用于划分优先级的值。出站规则 简介 在此页面上指定 ACL 规则,接口将根据此规则处理传出帧。在“Rules Configuration”选项卡 中指定ACL 规则。显示框说明 该页面包含以下框: • Interface 选择所需端口:端口或 VLAN接口。根据具体设备显示可用接口。要选择 VLAN 接口,则 必须组态 IP 接口。 说明 如果使用 VLAN 接口,ACL规则将适用于属于 VLAN 的所有端口。 • Add Rule 选择要分配给端口的 ACL 规则。 • Add 要将 ACL规则yongjiu分配给端口,请单击“Add”按钮。组态会显示在表中。 • Remove Rule 选择要删除的 ACL 规则。 •Remove 要删除端口的 ACL 规则,请单击“Remove”按钮。 该表包括以下列: • Priority/Rule Order显示 ACL 规则的优先级/顺序。 组态取决于正在使用的设备。请参见系统功能。在具有规则顺序的设备中,会根据规则顺序中的编号逐一处理规则。 • Rule Number 显示 ACL 规则的编号。 •Protocol 显示该规则对其有效的协议。 • Protocol Number 显示协议编号。 • Source IPAddress 显示源的 IP 地址。 • Source Subnet Mask 显示源的子网掩码。 • Destination IPAddress 显示目标的 IP 地址。
• Dest.Subnet Mask显示目标的子网掩码。 • Action 选择符合 ACL 规则时转发帧还是拒绝帧: – Forward 如果帧符合 ACL规则,则转发该帧。 – Discard 如果帧符合 ACL 规则,则不转发该帧。 • Source Port Min.显示源端口可能的Zui小端口号。 • Source Port Max. 显示源端口可能的Zui大端口号。 • Dest.Port Min.显示目标端口可能的Zui小端口号。 • Dest.Port Max. 显示目标端口可能的Zui大端口号。 • Message Type显示消息类型以决定消息的格式。 • Message Code 显示消息代码以指定消息的功能。 • DSCP 显示用于划分优先级的值。管理 ACL 组态说明 在此页面上,可提高设备的安全性。要指定具有哪个 IP 地址的工作站允许访问设备,必须 组态相应的 IP地址或一个地址范围。 可选择协议和端口,以便相关工作站可使用此信息访问设备。可定义该工作站所在的 VLAN。 这可确保仅 VLAN内的某些站具有设备的访问权限。显示框说明 说明 如果启用此功能,请注意以下几点 “Management Access ControlList”页面上的不正确组态可能会导致无法访问设备。因此应组 态一个访问规则,以便在启用该功能前可对管理功能进行访问。该页面包含以下框: • Management ACL 启用或禁用此功能。默认情况下会禁用该功能。 说明如果禁用了该功能,则对工业以太网交换机管理功能的访问不受限制。组态的访问规则 仅在该功能启用后有效。 • IP Address输入将应用该规则的 IP 地址或网络地址。如果使用 IPv4 地址 0.0.0.0,此设置适用于所有 IPv4 地址。如果使用IPv6 地址:该设置适用于所有 IPv6 地址。 • Subnet Mask 输入子网掩码或前缀长度。子网掩码255.255.255.255 适用于特定的 IPv4 地址。如果要 允许使用子网(如 C 子网),则输入255.255.255.0。子网掩码 0.0.0.0 适用于所有子网。 该表包括以下列: • Rule Order 显示 ACL规则的顺序。 创建 ACL 规则的顺序与检查这些规则的顺序一致。只要有规格符合要求,则立即启用。随 后的规则将被忽略。 • IPAddress 显示 IP 地址。 • Subnet Mask / Prefix Length 显示子网掩码或前缀长度。 •VLANs Allowed 输入设备所在的 VLAN 的编号。仅当设备位于该组态 VLAN 中时,站才能访问该设备。如果该输入框留空,则没有关于 VLAN 的限制。 • Out-Band 指定 IP 地址是否可以通过带外端口访问交换机。• SNMP指定工作站(或 IP 地址)是否可以使用 SNMP 协议访问设备。 • TELNET 指定工作站(或 IP 地址)是否可以使用TELNET 协议访问设备。 • HTTP 指定工作站(或 IP 地址)是否可以使用 HTTP 协议访问设备。 • HTTPS指定工作站(或 IP 地址)是否可以使用 HTTPS 协议访问设备。 • SSH 指定相应工作站(或 IP 地址)是否可以使用 SSH协议访问设备。 • Px.y 指定站点(或 IP 地址)是否可以通过此端口(插槽端口)访问该设备。 暴力破解预防 组态说明暴力破解预防是指试图通过数量足够大的密码防止设备受到未授权访问。会通过限制特定时 间段内的错误登录尝试次数实现此目的。描述该页面包含以下框: • User Specific BFP is Enabled / User Specific BFP isDisabled 显示是否启用用户特定的暴力破解预防。 在“Security > AAA > >General”菜单中的“Login Authentication”下拉列表中组态 loginauthentication。登录身份验证决定了是否可启用用户特定的暴力破解预防。 – Enabled:通过登录验证,设置了“Local”或“Local and RADIUS”模式,Zui大无效登录尝试次数大于 0。 – Disabled:通过登录验证,设置了“RADIUS”或“RADIUS and fallback Local”模式,或者Zui大无效登 录尝试次数为 0。• Acceptable Invalid Login Attempts Per User用户的Zui大无效登录尝试次数,超过此次数后,将禁止登录。所有未组态为设备本地用 户的用户均会归纳到用户名“UnknownUser”下。如果组态值“0”,则会禁用用户特定的暴力破解预防。 默认值为“12”。 • IP Specific BFP is Enabled显示是否启用 IP 特定的暴力破解预防。 • Acceptable Invalid IP Login Attempts Per IP禁止某一 IP 地址登录前的Zui大无效登录尝试次数。 如果组态值“0”,则会禁用 IP 特定的暴力破解预防。 默认值为“10”。 •BFP Trigger Interval [min] 与无效登录尝试计数相关的时间(以分钟为单位)。如果在此时间内达到允许的无效登录尝试次数(每个用户和每个 IP 地址),设备会在特定时间段内禁止登录。每个用户和 每个 IP地址的无效登录尝试次数是彼此独立处理的。可输入 5 到 255 分钟之间的值。默 认值为 5 分钟。 • BFP AutomaticReset Timer[min] 设备由于超出Zui大无效登录尝试次数而禁止登录的时间(以分钟为单位)。可输入 0 到 255分钟之间的值。 如果组态的值为“0”,则在达到Zui大无效登录尝试次数后即将无限期地禁止登录。 默认值为 12 分钟。The UserSpecific BFP 表包括以下列: • User 尝试登录的用户。 • Failed Logins 登录尝试失败次数。 •Last Failed[s] 自上一次登录尝试失败计起经过的时间(单位为秒)。要显示当前值,请单击“Refresh”按 钮。 •Blocked[s] 移除禁止功能之前经过的时间,单位为秒 (s)。要显示当前值,单击“Refresh”按钮。被禁止的用户在定时器到期之前尝试登录时,定时器将重新启动。 • Delete 结束对此用户的禁止并复位以下显示值: – “LastFailed”框中的值复位为“0”。 – “Blocked”框中用户的状态设为“Not blocked”。 IP SpecificBFP 表包括以下列: • IP 用于登录尝试的设备的 IP 地址。 • Failed Logins 登录尝试失败次数。 • LastFailed[s] 自上一次登录尝试失败计起经过的时间(单位为秒)。要显示当前值,请单击“Refresh”按 钮。 •Blocked[s] 移除禁止功能之前经过的时间,单位为秒 (s)。要显示当前值,单击“Refresh”按钮。 被禁止的 IP地址在定时器到期之前尝试登录时,定时器将重新启动。 • Delete 结束对 IP 地址的禁止并复位以下显示值: – “LastFailed”框中的值复位为“0”。 – “Blocked”框中 IP 地址的状态设为“Not blocked。• 无状态地址自动配置(SLAAC):采用 NDP(邻居发现 协议)的无状态自动组态 – 为各个在链路中无需路由器的接口创建链路本地 地址。 –检查在链路中无需路由器的链路地址的唯一性。 – 指定是否通过无状态机制、有状态机制或两种机 制获得全局地址。(在链路中需要路由器。)• 手册 • DHCPv6(与状态相关)