-
【最新整理,下载后即可编辑】
交换机配置(三)
ACL
基本配置
1
,二层
ACL
.
组网需求
:
通过二层访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
MAC
< br>为
00e0-fc01-0101
目的
< br>MAC
为
00e0-fc01-0303
报文的过滤。
该主机从
GigabitEtherne
t0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01
-0303
的
ACL
#
进入基于名字的二层访问控制列表视图,命名为
traffic-of-
link
。
[Quidway]
acl name traffic-of-link link
#
定义源
M
AC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01-0
303
的
流分类规则。
[Quidway-acl-link-traffic-of-link] rule
1 deny ingress 00e0-fc01-0101
0-0-0
egress 00e0-fc01-0303 0-0-0 time-range huawei
(3)
激活
ACL
。<
/p>
#
将
traffic-of-link
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter link-group
traffic-of-link
2
三层
ACL
a)
基本访问控制列表配置案例
.
组网需求
:
通过基本访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
IP
为
10.1.1.1
主机发出报文的过滤。
该主机从
GigabitEthernet0/1
接入
。
【最新整理,下载后即可编辑】
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
IP
为
10.1.1.1
的
ACL
#
进入基于名字的基本访问控制列表
视图,命名为
traffic-of-
host
。
[Quidway]
acl name traffic-of-host basic
#
定义源
IP
为
10.1.1
.1
的访问规则。
[Quidway-acl-basic-traffic-of-host]
rule 1 deny ip source 10.1.1.1 0
time-
range huawei
(3)
激活
ACL
。
#
将
traffic-of-host
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter inbound ip-group
traffic-of-host
b)
高级访问控制列表配置案例
.
组网需求
:
公司企业网通过
Switch
的端口实现各部门之间的互连。
研发部
门的由
GigabitEthe
rnet0/1
端口接入,
工资查询服务器的地址为
129.110.1.2
。
要求正确配置
ACL
,
限制研发部门在上班时间
8:00
至
18:00
访问
工资服务器。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
定义时间-
ACL
规则创
建-设定规则-激活规则
[Quidway] time-range huawei 8:00 to
18:00 working-day
(2)
定义到工资服务器的
ACL
#
进入基于名字的高级访问控制列表视图,命名为
traffic-of-payserver
。
[Quidway] acl name traffic-of-payserver
advanced
#
定义研发部门到工资服务器的访问规则。
【最新整理,下载后即可编辑】
[Quidway-acl-adv-traffic-of-payserver]
rule 1 deny ip source any
destination
129.110.1.2 0.0.0.0 time-range huawei
(
3)
激活
ACL
。
#
将
traffic-of-
payserver
的
ACL
激活。<
/p>
[Quidway-GigabitEthernet0/1]
packet-filter inbound ip-group
traffic-
of-payserver
3
,常见病毒的
ACL
创建
acl
acl number
100
禁
ping
rule
deny icmp source any
destination any
用于控制
Blaster<
/p>
蠕虫的传播
rule
deny udp source any
destination any destination-port eq 69
rule
deny tcp
source any destination any destination-port eq
4444
用于控制冲击波病毒的扫描和攻击
rule
deny tcp
source any destination any destination-port eq 135
rule
deny udp
source any destination any destination-port eq 135
rule
deny udp
source any destination any destination-port eq
netbios-ns
rule
deny udp source any destination any
destination-port eq
netbios-dgm
rule
deny tcp
source any destination any destination-port eq 139
rule
deny udp
source any destination any destination-port eq 139
rule
deny tcp
source any destination any destination-port eq 445
rule
deny udp
source any destination any destination-port eq 445
rule
deny udp
source any destination any destination-port eq 593
rule
deny tcp
source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule
deny tcp
source any destination any destination-port eq 445
rule
deny tcp
source any destination any destination-port eq
5554
rule
deny
tcp source any destination any destination-port eq
9995
【最新整理,下载后即可编辑】
rule
deny tcp source any destination any
destination-port eq 9996
用于控制
Worm_MSBlast.A
蠕虫的传播
rule
deny udp source any
destination any destination-port eq 1434
下面的不出名的病毒端口号
(可以不作)
rule
deny tcp source any
destination any destination-port eq 1068
rule
deny tcp
source any destination any destination-port eq
5800
rule
deny
tcp source any destination any destination-port eq
5900
rule
deny
tcp source any destination any destination-port eq
10080
rule
deny
tcp source any destination any destination-port eq
455
rule
deny
udp source any destination any destination-port eq
455
rule
deny
tcp source any destination any destination-port eq
3208
rule
deny
tcp source any destination any destination-port eq
1871
rule
deny
tcp source any destination any destination-port eq
4510
rule
deny
udp source any destination any destination-port eq
4334
rule
deny
tcp source any destination any destination-port eq
4331
rule
deny
tcp source any destination any destination-port eq
4557
然后下发配置
packet-filter ip-group 100
目
的:针对目前网上出现的问题,对目的是端口号为
1434
的<
/p>
UDP
报文进行过滤的配置方法,详细和复杂的配置请看配置
手册。
NE80
的配置:
NE80(config)#rule-map r1 udp any any eq
1434
//r1
为
role-
map
的名字,
udp
为关键字,
any any
所有源、
目
的
IP
,
e
q
为等于,
1434
为
udp
端口号
NE80(config)#acl a1 r1 deny
//a1
为
acl
的名字,
r1
为要绑定的
rule-
map
的名字,
NE80(config-if-Ethernet1/0/0)#access-
group acl a1
//
在
1
/0/0
接口上绑定
acl
,
acl
为关键字,
a1
为
acl
的名字
NE16
的配置:
NE16-4(config)#firewall enable all
【最新整理,下载后即可编辑】
//
首先启动防火墙
NE16-4(config)#access-list 101 deny udp
any any eq 1434
//deny
为禁止的关键
字,针对
udp
报文,
any any
为所有源、
目的
IP
< br>,
eq
为等于,
1434
为
udp
端口号<
/p>
NE16-4(config-if-
Ethernet2/2/0)#ip access-group 101 in
//
在接口上启用
access-li
st
,
in
表示进来的报文,也可以用
out
表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-
acl-101]rule deny udp source any destion any
destination-port eq 1434
[Router-Ethernet0]firewall packet-
filter 101 inbound
6506
产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny
protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-
group
aaa
国际化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp
source any destination any
destination-
port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet
5/0/1
[Quidway-
Ethernet5/0/1]packet-filter inbound ip-group 100
not-care-for-interface
5516
产品的配置:
旧命令行配置如下:
5516(config)#rule-map
l3 aaa protocol-type udp ingress any
egress
any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
【最新整理,下载后即可编辑】
-
-
-
-
-
-
-
-
-
上一篇:中兴ZXR10_2826E26262618_配置说明
下一篇:MPLS 基础概念