华为交换机ACL控制列表设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置
1,二层ACL
. 组网需求:
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。
# 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
2 三层ACL
a)基本访问控制列表配置案例
. 组网需求:
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源IP为10.1.1.1的ACL
# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
[Quidway] acl name traffic-of-host basic
# 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
ip source 10.1.1.1 0 time-range huawei
(3)激活ACL。
# 将traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host
b)高级访问控制列表配置案例
.组网需求:
公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为
129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day
(2)定义到工资服务器的ACL
# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
[Quidway] acl name traffic-of-payserver
advanced
# 定义研发部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
(3)激活ACL。
# 将traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver
3,常见病毒的ACL
创建acl
acl number 100
禁ping
rule deny icmp source any destination any 用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq 69
rule deny tcp source any destination any destination-port eq 4444
用于控制冲击波病毒的扫描和攻击
rule deny tcp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq netbios-ns
rule deny udp source any destination any destination-port eq netbios-dgm
rule deny tcp source any destination any destination-port eq 139
rule deny udp source any destination any destination-port eq 139
rule deny tcp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 593
rule deny tcp source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule deny tcp source any destination any destination-port eq 445
rule deny tcp source any destination any