-
华为交换机
ACL
控
制列表设置
交换机配置(三)
p>
ACL
基本配置
1
,二层
ACL
.
组网需求
:
通过二层访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
MAC
< br>为
00e0-fc01-0101
目
的
MAC
为
00e0-fc01-
0303
报文的过滤。
该主机
从
GigabitEthernet0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00
daily
(2)
定义
源
MAC
为
00e0-fc01-01
01
目的
MAC
为
00e0-fc01-0303
的
ACL
#
进入基于名字的二层访问控制列表视图,命
名为
traffic-of-
link
。
[Quidway]
acl name traffic-of-link link
#
定义源
MAC
为
00e0-f
c01-0101
目的
MAC
为
00e0-fc01-0303
的流分类规则。
[Quidway-acl-link-traffic-of-link]
rule 1 deny
ingress 00e0-fc01-0101
0-0-0 egress
00e0-fc01-0303
0-0-0 time-range huawei
(3)
激
活
ACL
。
#
将
traffic-of-lin
k
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter
link-group traffic-of-link
2
三层
ACL
a)
基本访问控制列表配置案例
.
组网需求
:
通过基本访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
IP
为
10.1.1.1
主机发出报文
的过滤。该主机从
GigabitEthernet0/1
接入
。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00
daily
(2)
定义
源
IP
为
10.1.1.1
的
ACL
#
进入基于
名字的基本访问控制列表视图,命
名为
traffic-of-
host
。
[Quidway]
acl name traffic-of-host basic
#
定义源
IP
为
10.1.1
.1
的访问规则。
[Quidway-acl-basic-traffic-of-host]
rule 1 deny
ip source
10.1.1.1 0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-hos
t
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter
inbound ip-group traffic-of-host
b
)
高级访问控制列表配置案例
.
组网需求
: <
/p>
公司企业网通过
Switch
的端口实现
各部门之
间的互连。研发部门的由
GigabitEthern
et0/1
端口接入,工资查询服务器的地址为
129.110
.1.2
。要求正确配置
ACL
,限制
研发部
门在上班时间
8:00
至
18:00
访问工资服务器。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
定义时
间
-
ACL
规则创建-设定规则-激活规则
[Quidway] time-range huawei 8:00 to 18:00
working-day
(2)
定义到工资服务器的
ACL
#
进入基于名字的高级访问控制列表视图,命
名为
traffic-of-
payserver
。
[Quidway] acl name traffic-of-payserver
advanced
#
定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule 1
deny ip source any destination
129.110.1.2
0.0.0.0 time-range huawei <
/p>
(3)
激活
ACL
。
#
将
traffic-of-payserver
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter
inbound ip-group traffic-of-
payserver
3
,常见病毒的
ACL
创建
acl
acl number
100
禁
ping
rule
deny icmp source any
destination any
用于控制
Blaster<
/p>
蠕虫的传播
rule
deny udp source any
destination any
destination-port eq 69
rule
deny tcp
source any destination any
destination-
port eq 4444
用于控制冲击波病毒的扫描和攻击
rule
deny tcp
source any destination any
destination-
port eq 135
rule
deny udp source any
destination any
destination-port eq 135
rule
deny udp
source any destination any
destination-
port eq netbios-ns
rule
deny udp source any destination any
destination-port eq netbios-dgm
rule
deny tcp
source any destination any
destination-
port eq 139
rule
deny udp source any destination any
destination-port eq 139
rule
deny tcp source any
destination any
destination-port eq 445
rule
deny udp
source any destination any
destination-
port eq 445
rule
deny udp source any destination any
destination-port eq 593
rule
deny tcp source any
destination any
destination-port eq 593
用于控制振荡波的扫描和攻击
rule
deny tcp
source any destination any
destination-
port eq 445
rule
deny tcp source any destination any
destination-port eq 5554
rule
deny tcp
source any destination any
destination-
port eq 9995
rule
deny tcp source any destination any
destination-port eq 9996
用于控制
Worm_MSBlast.A
蠕虫的传播
rule
deny udp source any
destination any
destination-port eq
1434
下面的不出名的病毒端口号
(可以不作)
rule
deny tcp
source any destination any
destination-
port eq 1068
rule
deny tcp source any destination any
destination-port eq 5800
rule
deny tcp
source any destination any
destination-
port eq 5900
rule
deny tcp source any destination any
destination-port eq 10080
rule
deny tcp
source any destination any
destination-
port eq 455
rule
deny udp source any destination any
destination-port eq 455
rule
deny tcp source any
destination any
destination-port eq 3208
rule
deny tcp
source any destination any
destination-
port eq 1871
rule
deny tcp source any destination any
destination-port eq 4510
rule
deny udp
source any destination any
destination-
port eq 4334
rule
deny tcp source any destination any
destination-port eq 4331
rule
deny tcp
source any destination any
destination-
port eq 4557
然后下发配置
packet-filter ip-group 100
目
的:针对目前网上出现的问题,对目的是端
口号为
1434
p>
的
UDP
报文进行过滤的配置方法,
详细和复杂的配置请看配置手册。
NE80
的配置:
NE80(config)#rule-map r1 udp any any eq
1434
//r1
为
role-
map
的名字,
udp
为关键字,
any
any
所有源、
目的
IP
,<
/p>
eq
为等于,
1434
< br>为
udp
端口号
-
-
-
-
-
-
-
-
-
上一篇:H3C配置命令教程
下一篇:用wireshark的iograph功能分析网络质量