-
-------------------------------------------
--------------------
最新资料推荐
--
--------------------------------------------------
--
交换机配置
ACL
基本配置
交换机配置(三)
ACL
基本配置
1
,二层
ACL
.
组网需求
:
通
过二层访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01-0303
报文的过滤。
该主机从
GigabitEthernet0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时
间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义
源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01-0303
的
ACL
#
进
入
基
于
名
字
的
二
层<
/p>
访
问
控
制
列
表
视
图
,
命
名
为
traffic-of-
link
。
[Quidway] acl name traffic-of-link link #
定义源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01-0303
的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny
ingress
00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range
huawei
(3)
激活
ACL
。
#
将
traffic-of-link
的
ACL
激活。
[Quidway-
GigabitEthernet0/1]
packet-filter
link-group
traffic-of-link
2
,三层
ACL
a)
基本访问控制列表配置案例
.
组
网需求
:
通过基本访问控制列表,实现在每天
8:00
~
18:00
时间段
内对源
IP
为
10.1.1.1
主机发出报文的过滤。
1
/
11
该主机从
GigabitEthernet0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时
间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义
源
IP
为
10.1.1.1
的
ACL #
进入基于名字的基本
访问控制列表视
图,命名为
traffic-of-
host
。
[Quidway] acl name traffic-of-host basic #
定义源
IP
为
10.1.1.1
的访问规则。
[Quidway-acl-basic-traffic-of-host]
rule
1
deny
ip
source
10.1.1.1 0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-host
的
ACL
激活。
[Quidway-
GigabitEthernet0/1]
packet-filter
inbound
ip-group traffic-of-
host b)
高级访问控制列表配置案例
.
组网需
求
:
公司企业网通过
Switch
的端口实现各部门之间的互连。
研发部门的由
GigabitEthernet0/1
端口接入,工资查询服务器
的地址为
129.110.1.2
。
要求正确配置
ACL
,限制研发部门在上班时间
8:00
至
18:00
访问工资服务器。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时
间段。
[Quidway]
time-range
huawei
8:00
to
18:00
working-day
(2)
定义到工资服务器的
ACL
#
进入基于名字的高级访问控制列表视
----------
--------------------------------------------------
---
最新资料推荐
-------------------
-----------------------------------
图,命名为
traffic-of-
payserver
。
[Quidway] acl name traffic-of-payserver advanced #
定义
研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-
payserver] rule 1 deny ip
source any
destination 129.110.1.2 0.0.0.0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-payserver
的
ACL
激活。
[Quidway-
GigabitEthernet0/1]
packet-filter
inbound
ip-group traffic-of-
payserver 3
,常见病毒的
ACL
创建
acl acl
number
100
禁
ping
rule
deny
icmp
source any
destination
any
用
于
控
制
Blaster
蠕
虫
的
传
播
rule
deny
udp
source
any
destination any destination-port eq 69
rule deny tcp source
any destination
any destination-port eq 4444
用于控制冲击波
病毒的扫描和攻击
rule deny tcp source any destination any
destination-port
eq
135
rule deny
udp source
any destination
any
destination-port
eq
135
rule
deny
udp
source
any
destination
any
destination-port
eq
netbios-ns
rule deny
udp
source any destination
any destination-port eq netbios-dgm
rule deny
tcp source any
destination
any destination-
port
eq
139
rule
deny
udp
source
any
destination
any
destination-port
eq
139
rule
deny
tcp
source
any
destination
any
3
/
11
destination-port
eq
445
rule deny
udp source
any destination
any
destination-port
eq
445
rule
deny
udp
source
any
destination
any
destination-port
eq
593 rule deny tcp source
any destination any destination-port eq
593
用于控制振荡波的
扫
描
和
攻
击
rule
deny
tcp
source
any
destination
any
destination-port
eq
445
rule deny
tcp source
any destination
any
destination-port
eq
5554
rule
deny
tcp
source
any
destination
any
destination-port
eq
9995
rule deny
tcp
source
any
destination
any
destination-port
eq
9996
用
于
控
制
Worm_MSBlast.A
蠕
虫
的
传
播
rule
deny
udp
source
any
destination any destination-port eq
1434
下面的不出名的病毒
端口号
(可以不作)
rule deny
tcp
source
any
destination
any
destination-port
eq
1068
rule deny
tcp
source
any
destination
any
destination-port
eq
5800
rule
deny
tcp
source
any
destination
any
destination-port
eq
5900
rule
deny
tcp
source
any destination any destination-port eq
10080 rule deny tcp
source any
destination
any destination-
port
eq
455 rule deny
udp source any destination any
destination-port eq 455 rule
deny tcp
source any destination any destination-port eq
3208
rule deny
tcp source
any
destination
any
destination-port
eq
1871
rule
deny
tcp
source
any
destination
any
destination-port
eq
4510
rule deny
udp
source
any
destination
----------------
-----------------------------------------------
最新资料推荐
-------------------------
-----------------------------
any
destination-port
eq
4334
rule
deny
tcp
source
any
destination
any
destination-port
eq
4331
rule deny
tcp
source
any
destination any destination-port eq 4557
然后下发配置
packet-
filter ip-group 100
目的:
针对目前网上出现的问题,对目的是端口号为
1434
的
UDP
报
文进行过滤的配置方法,详细和复杂的配置请看配置手册。
NE80
的配置:
NE80(config)#rule-map r1 udp any any eq
1434 //r1
为
role-
map
的名字,
udp
为关键字,
any
any
所有源、
目的
IP
,
eq
为
等于,
1434
为
udp
端口号
NE80(config)#acl a1
r1 deny //a1
为
acl
的
名
字
,
r1
为
要
绑
定
的
rule-map
的
名
字
,
NE80(config-if-Ethernet1/0/0)#access-
group acl a1 //
在
1/0/0
接口上绑定
acl
,
acl
为关键字,
a1
为
acl
的名字
NE16
的配置:
NE16-4(config)#firewall
enable
all
//
首
先
启
动
防
火
墙
NE16-4(config)#access-list
101
deny
udp
any
any
eq
1434
//deny
为禁止的关键字,针对
udp
报文,
any
any
为所有源、目的
IP
,
eq
为
等
于
,
1434
为
udp
端
口
号
NE16-4(config-if-Ethernet2/2/0)#ip
access-group 101 in
//
在
接口上启用
access-
list
,
in
表示进来的报文,
也可以用
out
表示
出
去
的<
/p>
报
文
中
低
端
路
由
器
的
配
置
[Router]firewall
enable
[Router]acl
101
[Router-acl-101]rule
deny
udp
source
any
5
/
11
-
-
-
-
-
-
-
-
-
上一篇:华为交换机各种配置方法
下一篇:直断四柱法,一分钟就让你语出惊人