华为交换机ACL控制列表设置

ACL

#

进入基于 名字的基本访问控制列表视图，命

名为

traffic-of- host

。

[Quidway] acl name traffic-of-host basic

#

定义源

IP

为

10.1.1 .1

的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny

ip source 10.1.1.1 0 time-range huawei

(3)

激活

ACL

。

#

将

traffic-of-hos t

的

ACL

激活。

[Quidway-GigabitEthernet0/1] packet- filter

inbound ip-group traffic-of-host

b

)

高级访问控制列表配置案例

.

组网需求

: < /p>

公司企业网通过

Switch

的端口实现 各部门之

间的互连。研发部门的由

GigabitEthern et0/1

端口接入，工资查询服务器的地址为

129.110 .1.2

。要求正确配置

ACL

，限制 研发部

门在上班时间

8:00

至

18:00

访问工资服务器。

.

配置步骤

:

(1)

定义时间段

#

定义

8:00

至

18:00

的周期时间段。

定义时

间 －

ACL

规则创建－设定规则－激活规则

[Quidway] time-range huawei 8:00 to 18:00

working-day

(2)

定义到工资服务器的

ACL

#

进入基于名字的高级访问控制列表视图，命

名为

traffic-of- payserver

。

[Quidway] acl name traffic-of-payserver

advanced

#

定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1

deny ip source any destination 129.110.1.2

0.0.0.0 time-range huawei < /p>

(3)

激活

ACL

。

#

将

traffic-of-payserver

的

ACL

激活。

[Quidway-GigabitEthernet0/1] packet- filter

inbound ip-group traffic-of- payserver

3

，常见病毒的

ACL

创建

acl

acl number 100

禁

ping

rule

deny icmp source any destination any

用于控制

Blaster< /p>

蠕虫的传播

rule

deny udp source any destination any

destination-port eq 69

rule

deny tcp source any destination any

destination- port eq 4444

用于控制冲击波病毒的扫描和攻击

rule

deny tcp source any destination any

destination- port eq 135

rule

deny udp source any destination any

destination-port eq 135

rule

deny udp source any destination any

destination- port eq netbios-ns

rule

deny udp source any destination any

destination-port eq netbios-dgm

rule

deny tcp source any destination any

destination- port eq 139

rule

deny udp source any destination any

destination-port eq 139

rule

deny tcp source any destination any

destination-port eq 445

rule

deny udp source any destination any

destination- port eq 445

rule

deny udp source any destination any

destination-port eq 593

rule

deny tcp source any destination any

destination-port eq 593

用于控制振荡波的扫描和攻击

rule

deny tcp source any destination any

destination- port eq 445

rule

deny tcp source any destination any

destination-port eq 5554

rule

deny tcp source any destination any

destination- port eq 9995

rule

deny tcp source any destination any

destination-port eq 9996

用于控制

Worm_MSBlast.A

蠕虫的传播

rule

deny udp source any destination any

destination-port eq 1434

下面的不出名的病毒端口号

（可以不作）

rule

deny tcp source any destination any

destination- port eq 1068

rule

deny tcp source any destination any

destination-port eq 5800

rule

deny tcp source any destination any

destination- port eq 5900

rule

deny tcp source any destination any

destination-port eq 10080

rule

deny tcp source any destination any

destination- port eq 455

rule

deny udp source any destination any

destination-port eq 455

rule

deny tcp source any destination any

destination-port eq 3208

rule

deny tcp source any destination any

destination- port eq 1871

rule

deny tcp source any destination any

destination-port eq 4510

rule

deny udp source any destination any

destination- port eq 4334

rule

deny tcp source any destination any

destination-port eq 4331

rule

deny tcp source any destination any

destination- port eq 4557

然后下发配置

packet-filter ip-group 100

目 的：针对目前网上出现的问题，对目的是端

口号为

1434

的

UDP

报文进行过滤的配置方法，

详细和复杂的配置请看配置手册。

NE80

的配置：

NE80(config)#rule-map r1 udp any any eq

1434

//r1

为

role- map

的名字，

udp

为关键字，

any

any