交换机配置ACL基本配置

命

名

为

traffic-of- link

。

[Quidway] acl name traffic-of-link link #

定义源

MAC

为

00e0-fc01-0101

目的

MAC

为

00e0-fc01-0303

的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress

00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range

huawei (3)

激活

ACL

。

#

将

traffic-of-link

的

ACL

激活。

[Quidway- GigabitEthernet0/1]

packet-filter

link-group

traffic-of-link 2

，三层

ACL a)

基本访问控制列表配置案例

.

组

网需求

:

通过基本访问控制列表，实现在每天

8:00

～

18:00

时间段

内对源

IP

为

10.1.1.1

主机发出报文的过滤。

1

/

11

该主机从

GigabitEthernet0/1

接入。

.

配置步骤

: (1)

定义时间段

#

定义

8:00

至

18:00

的周期时

间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)

定义

源

IP

为

10.1.1.1

的

ACL #

进入基于名字的基本 访问控制列表视

图，命名为

traffic-of- host

。

[Quidway] acl name traffic-of-host basic #

定义源

IP

为

10.1.1.1

的访问规则。

[Quidway-acl-basic-traffic-of-host]

rule

1

deny

ip

source

10.1.1.1 0 time-range huawei (3)

激活

ACL

。

#

将

traffic-of-host

的

ACL

激活。

[Quidway- GigabitEthernet0/1]

packet-filter

inbound

ip-group traffic-of- host b)

高级访问控制列表配置案例

.

组网需

求

:

公司企业网通过

Switch

的端口实现各部门之间的互连。

研发部门的由

GigabitEthernet0/1

端口接入，工资查询服务器

的地址为

129.110.1.2

。

要求正确配置

ACL

，限制研发部门在上班时间

8:00

至

18:00

访问工资服务器。

.

配置步骤

: (1)

定义时间段

#

定义

8:00

至

18:00

的周期时

间段。

[Quidway]

time-range

huawei

8:00

to

18:00

working-day

(2)

定义到工资服务器的

ACL #

进入基于名字的高级访问控制列表视

---------- -------------------------------------------------- ---

最新资料推荐

------------------- -----------------------------------

图，命名为

traffic-of- payserver

。

[Quidway] acl name traffic-of-payserver advanced #

定义

研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of- payserver] rule 1 deny ip

source any destination 129.110.1.2 0.0.0.0 time-range huawei

(3)

激活

ACL

。

#

将

traffic-of-payserver

的

ACL

激活。

[Quidway- GigabitEthernet0/1]

packet-filter

inbound

ip-group traffic-of- payserver 3

，常见病毒的

ACL

创建

acl acl

number 100

禁

ping

rule deny

icmp

source any

destination

any

用

于

控

制

Blaster

蠕

虫

的

传

播

rule

deny

udp

source

any

destination any destination-port eq 69 rule deny tcp source

any destination any destination-port eq 4444

用于控制冲击波

病毒的扫描和攻击

rule deny tcp source any destination any

destination-port

eq

135

rule deny

udp source

any destination

any

destination-port

eq

135

rule

deny

udp

source

any

destination

any

destination-port

eq

netbios-ns

rule deny

udp

source any destination any destination-port eq netbios-dgm

rule deny

tcp source any

destination

any destination- port

eq

139

rule deny

udp

source

any

destination

any

destination-port

eq

139

rule

deny

tcp

source

any

destination

any

3

/

11

destination-port

eq

445

rule deny

udp source

any destination

any

destination-port

eq

445

rule

deny

udp

source

any

destination

any

destination-port

eq

593 rule deny tcp source

any destination any destination-port eq 593

用于控制振荡波的

扫

描

和

攻

击

rule

deny

tcp

source

any

destination

any

destination-port

eq

445

rule deny

tcp source

any destination

any

destination-port

eq

5554

rule

deny

tcp

source

any

destination

any

destination-port

eq

9995

rule deny

tcp

source

any

destination

any

destination-port

eq

9996

用

于

控

制

Worm_MSBlast.A

蠕

虫

的

传

播

rule

deny

udp

source

any

destination any destination-port eq 1434

下面的不出名的病毒

端口号

（可以不作）

rule deny

tcp

source

any

destination

any

destination-port

eq

1068

rule deny

tcp

source

any

destination

any

destination-port

eq

5800

rule

deny

tcp

source

any

destination

any

destination-port

eq

5900

rule deny

tcp

source

any destination any destination-port eq 10080 rule deny tcp

source any

destination

any destination- port

eq

455 rule deny

udp source any destination any destination-port eq 455 rule

deny tcp source any destination any destination-port eq 3208

rule deny

tcp source any

destination

any destination-port

eq

1871

rule

deny

tcp

source

any

destination

any

destination-port

eq

4510

rule deny

udp

source

any

destination

---------------- -----------------------------------------------

最新资料推荐

------------------------- -----------------------------

any

destination-port

eq

4334

rule

deny

tcp

source

any

destination

any

destination-port

eq

4331

rule deny

tcp

source

any destination any destination-port eq 4557

然后下发配置

packet- filter ip-group 100

目的：

针对目前网上出现的问题，对目的是端口号为

1434

的

UDP

报

文进行过滤的配置方法，详细和复杂的配置请看配置手册。

NE80

的配置：

NE80(config)#rule-map r1 udp any any eq 1434 //r1

为

role- map

的名字，

udp

为关键字，

any

any

所有源、

目的

IP

，

eq

为

等于，

1434

为

udp

端口号

NE80(config)#acl a1 r1 deny //a1

为

acl

的

名

字

，

r1

为

要

绑

定

的

rule-map

的

名

字

，

NE80(config-if-Ethernet1/0/0)#access- group acl a1 //

在

1/0/0

接口上绑定

acl

，

acl

为关键字，

a1

为

acl

的名字

NE16

的配置：

NE16-4(config)#firewall

enable

all

//

首

先

启

动

防

火

墙

NE16-4(config)#access-list

101

deny

udp

any

any

eq

1434

//deny

为禁止的关键字，针对

udp

报文，

any

any

为所有源、目的

IP

，

eq

为

等

于

，

1434

为

udp

端

口

号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in //

在

接口上启用

access- list

，

in

表示进来的报文，

也可以用

out

表示

出

去

的< /p>

报

文

中

低

端

路

由

的

配

置

[Router]firewall

enable

[Router]acl

101

[Router-acl-101]rule

deny

udp

source

any

5

/

11