您的位置:360文档中心› 华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为交换机ACL控制列表设置

交换机配置(三)ACL基本配置

1,二层ACL

. 组网需求:

通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL

# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link

2 三层ACL

a)基本访问控制列表配置案例

. 组网需求:

通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

[Quidway] acl name traffic-of-host basic

# 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

ip source 10.1.1.1 0 time-range huawei

(3)激活ACL。

# 将traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host

b)高级访问控制列表配置案例

.组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为

129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day

(2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。

[Quidway] acl name traffic-of-payserver

advanced

# 定义研发部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei

(3)激活ACL。

# 将traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver

3,常见病毒的ACL

创建acl

acl number 100

禁ping

rule deny icmp source any destination any 用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69

rule deny tcp source any destination any destination-port eq 4444

用于控制冲击波病毒的扫描和攻击

rule deny tcp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq netbios-ns

rule deny udp source any destination any destination-port eq netbios-dgm

rule deny tcp source any destination any destination-port eq 139

rule deny udp source any destination any destination-port eq 139

rule deny tcp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 593

rule deny tcp source any destination any destination-port eq 593

用于控制振荡波的扫描和攻击

rule deny tcp source any destination any destination-port eq 445

rule deny tcp source any destination any

相关文档
最新文档