华为路由器配置ACL.doc

华为 AR 28-11的型号 基本适用多数华为路由Login authentication Username:ztwindows （用户） Password: sys （进如系统视图） System View: return to User View with Ctrl+Z. quidwaydis curr （查看当前系统配置信息） # sysname quidway （系统名称） # info-center loghost 32（指定信息中心配置信息，这个可以不要） # firewall enable（开起防火墙功能） # dns resolve （启动动态DNS解析功能） dns server 68（指定域名服务器IP地址） dns-proxy enable（启动动态DNS解析功能） # radius scheme system（指定radius配置信息 创建scheme方案或者修改方案属性） radius scheme test （test方案名） # domain system # local-user ztwindows password cipher L_-D*ST8Z)9JV9LS027A! service-type telnet terminal level 3 关键地方来了！ # acl number 2000 （设置一个基本的ACL数值为2000） rule 0 permit source 55 （这里配置的时候你会知道其意思） rule 1 deny # acl number 3001 （设置端口过滤 使得安全功能） rule 0 deny tcp source-port eq 3127 rule 1 deny tcp source-port eq 1025 rule 2 deny tcp source-port eq 5554 rule 3 deny tcp source-port eq 9996 rule 4 deny tcp source-port eq 1068 rule 5 deny tcp source-port eq 135 rule 6 deny udp source-port eq 135 rule 7 deny tcp source-port eq 137 rule 8 deny udp source-port eq netbios-ns rule 9 deny tcp source-port eq 138 rule 10 deny udp source-port eq netbios-dgm rule 11 deny tcp source-port eq 139 rule 12 deny udp source-port eq netbios-ssn rule 13 deny tcp source-port eq 593 rule 14 deny tcp source-port eq 4444 rule 15 deny tcp source-port eq 5800 rule 16 deny tcp source-port eq 5900 rule 18 deny tcp source-port eq 8998 rule 19 deny tcp source-port eq 445 rule 20 deny udp source-port eq 445 rule 21 deny udp source-port eq 1434 rule 30 deny tcp destination-port eq 3127 rule 31 deny tcp destination-port eq 1025 rule 32 deny tcp destination-port eq 5554 rule 33 deny tcp destination-port eq 9996 rule 34 deny tcp destination-port eq 1068 rule 35 deny tcp destination-port eq 135 rule 36 deny udp destination-port eq 135 rule 37 deny tcp destination-port eq 137 rule 38 deny udp destination-port eq netbios-ns rule 39 deny tcp destination-port eq 138 rule 40 deny udp destination-port eq netbios-dgm rule 41 deny tcp destination-port eq 139 rule 42 deny udp destination-port eq netbios-ssn rule 43 deny tcp destination-port eq 593 rule 44 deny tcp destination-port eq 4444 rule 45 deny tcp destination-port eq 5800 rule 46 deny tcp destination-port eq 5900 rule 48 deny tcp destination-port eq 8998 rule 49 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 # interface Aux0 （这个不用解释了 自己看就知道了） async mode flow # interface Ethernet0/0（设置以太网口0/0口） speed 100（设置以太网的带宽为100M） descrption link_to_dianxin（以太网口标识 我设置的意思是这个口是接如点心） tcp mss 2048（设置TCP 的MSS直最大为2048） ip address 220.172.*.* 92（这里是设置这个口的外网IP以及子网） nat outbound 2000（设置nat地址转换数值为2000） nat server protocol tcp global 220.172.*.* 15000 inside 32 15000（这些是我做的端口隐射） nat server protocol tcp global 220.172.*.* 15010 inside 32 15010 nat server protocol tcp global 220.172.*.* 15030 inside 32 15030 nat server protocol tcp global 220.172.*.* 15037 inside 32 15037 nat server protocol tcp global 220.172.*.* 15047 inside 32 15047 # interface Ethernet0/1（上面说过接口了 这个是0/1口 看懂上面就应该看懂这里了吧） speed 100 descrption link_to_workgroup tcp mss 1536 ip address nat outbound 2000（内网口可以不设置这项） # interface Serial0/0（这个自己看说明就知道什么用了） clock DTECLK1 link-protocol ppp shutdown ip address ppp-negotiate # interface Tunnel0 # interface NULL0 # time-range daily 08:30 to 18:30 daily # FTP server enable （FT服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了） # ftp source-interface Ethernet0/1（指向FTP连接借口为以太网0/1口） # undo arp check enable（使得能ARP表项检测，这个可以根据自己在加上其他参数实现） # ip route-static 29 preference 60（这里是加上外网IP的网关） # user-interface con 0 authentication-mode scheme user-interface aux 0 user-interface vty 0 4 authentication-mode scheme # return quidway 好了 大家应该看得懂了吧 对了 支持中文方式 命令为 lan ch