华为交换机ACL控制列表设置

1、精品文档交换机配置（三）ACL 基本配置1 ，二层 ACL. 组网需求 :通过二层访问控制列表，实现在每天8:00 18:00 时间段内对源MAC 为00e0-fc01-0101目的 MAC 为 00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤 :(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily(2) 定义源 MAC 为00e0-fc01-0101目的 MAC为 00e0-fc01-0303的 ACL#进入基于名字的二层访问控制列表视

2、图，命名为traffic-of-link。Quidway acl name traffic-of-link link#定义源 MAC 为 00e0-fc01-0101目的 MAC为 00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0egress 00e0-fc01-0303 0-0-0 time-range huawei(3) 激活 ACL 。# 将 traffic-of-link的 ACL 激活。Quidway-GigabitEthernet0/1 pac

3、ket-filter link-group traffic-of-link2 三层 ACLa) 基本访问控制列表配置案例随意编辑精品文档. 组网需求 :通过基本访问控制列表，实现在每天8:00 18:00 时间段内对源IP 为主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤 :(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily(2) 定义源 IP 为的 ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。Quidway ac

4、l name traffic-of-host basic# 定义源 IP 为的访问规则。huawei(3) 激活 ACL 。# 将 traffic-of-host的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb )高级访问控制列表配置案例.组网需求 :公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为。要求正确配置ACL ，限制研发部门在上班时间8:00 至 18:00 访问工资服务器。.配置步

5、骤 :随意编辑精品文档(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。定义时间 ACL 规则创建设定规则激活规则 Quidway time-range huawei 8:00 to 18:00 working-day(2) 定义到工资服务器的 ACL# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。Quidway acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip sou

6、rce any(3) 激活 ACL 。# 将 traffic-of-payserver的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-grouptraffic-of-payserver3 ，常见病毒的ACL创建 aclacl number 100禁 pingruledeny icmp source any destination any用于控制Blaster蠕虫的传播ruledeny udp source any destination any destination-port eq 69ruledeny tcp sou

7、rce any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击随意编辑精品文档ruledeny tcp source any destination any destination-port eq 135ruledeny udp source any destination any destination-port eq 135ruledeny udp source any destination any destination-port eq netbios-nsruledeny udp source any destinati

8、on any destination-port eq netbios-dgmruledeny tcp source any destination any destination-port eq 139ruledeny udp source any destination any destination-port eq 139ruledeny tcp source any destination any destination-port eq 445ruledeny udp source any destination any destination-port eq 445ruledeny u

9、dp source any destination any destination-port eq 593ruledeny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击ruledeny tcp source any destination any destination-port eq 445ruledeny tcp source any destination any destination-port eq 5554ruledeny tcp source any destination any dest

10、ination-port eq 9995ruledeny tcp source any destination any destination-port eq 9996用于控制 Worm_MSBlast.A蠕虫的传播ruledeny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号（可以不作）ruledeny tcp source any destination any destination-port eq 1068ruledeny tcp source any destination any destin

11、ation-port eq 5800ruledeny tcp source any destination any destination-port eq 5900ruledeny tcp source any destination any destination-port eq 10080随意编辑精品文档ruledeny tcp source any destination any destination-port eq 455ruledeny udp source any destination any destination-port eq 455ruledeny tcp source

12、 any destination any destination-port eq 3208ruledeny tcp source any destination any destination-port eq 1871ruledeny tcp source any destination any destination-port eq 4510ruledeny udp source any destination any destination-port eq 4334ruledeny tcp source any destination any destination-port eq 433

13、1ruledeny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题，对目的是端口号为1434 的 UDP 报文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80 的配置：NE80(config)#rule-map r1 udp any any eq 1434/r1 为 role-map的名字， udp为关键字， any any所有源、 目的 IP ，eq 为等于， 1434为 udp 端口号NE80(config)#acl a1 r

14、1 deny/a1 为 acl 的名字， r1 为要绑定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-group acl a1/ 在 1/0/0 接口上绑定 acl ， acl 为关键字， a1 为 acl 的名字NE16 的配置：NE16-4(config)#firewall enable all随意编辑精品文档/ 首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434/deny为禁止的关键字， 针对 udp 报文，any any为所有源、目的 IP ，eq 为等于，

15、1434为 udp 端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in/ 在接口上启用access-list， in 表示进来的报文，也可以用out 表示出去的报文中低端路由器的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434Router-Ethernet0firewall packet-filter 101 inbound6506 产品的配置：旧命令行配置如

16、下：6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-groupaaa国际化新命令行配置如下：Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination anydestination-port eq 1434Quidway-acl-adv-100quitQuidwayinterface ethernet5/0/1Quidway-Ethernet5/0/1

17、packet-filter inbound ip-group 100随意编辑精品文档not-care-for-interface5516 产品的配置：旧命令行配置如下：5516(config)#rule-mapl3 aaa protocol-type udp ingress any egress any eq14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-groupbbb国际化新命令行配置如下：Quidwayacl num 100Quidway-acl-adv-100rul

18、e deny udp source any destination anydestination-port eq 1434Quidwaypacket-filter ip-group 1003526 产品的配置：旧命令行配置如下：flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100随意编辑精品文档packet-filter ip-group 101 rule 0注： 3526 产品只能配置外网对内网的过滤规则，其中是内网的地址段。8016 产品的配置：旧命令行配置如下：8016(config)#ru

19、le-map intervlan aaa udpanyanyeq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udpanyanyeq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all防止同网段ARP 欺骗的 ACL一、组网需求：1. 二层交换机阻止网络用户仿冒

20、网关IP 的 ARP 攻击二、组网图：随意编辑精品文档图 1 二层交换机防ARP 攻击组网S3552P 是三层设备， 其中 IP：是所有 PC 的网关， S3552P 上的网关MAC 地址为 000f-e200-3999。 PC-B 上装有 ARP 攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP 的 ARP 报文。三、配置步骤对于二层交换机如S3026C 等支持用户自定义ACL （ number为 5000 到 5999 ）的交换机，可以配置ACL 来进行 ARP 报文过滤。全局配置ACL 禁止所有源IP 是网关的ARP 报文acl num5000rule 0

21、deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的ARP 报文禁掉，其中斜体部分 64010101是网关 IP 地址的16 进制表示形式。Rule1 允许通过网关发送的ARP 报文，斜体部分为网关的mac 地址 000f-e200-3999。随意编辑精品文档注意：配置Rule 时的配置顺序，上述配置为先下发后生效的情况。在 S3026C-A 系统视图下发 acl 规则：S3026C-A packet-

22、filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP 报文，其它主机都不能发送假冒网关的arp 响应报文。三层交换机实现仿冒网关的ARP 防攻击一、组网需求：1.三层交换机实现防止同网段的用户仿冒网关IP 的 ARP 攻击二、组网图图 2三层交换机防 ARP 攻击组网三、配置步骤1.对于三层设备， 需要配置过滤源IP 是网关的 ARP 报文的 ACL 规则，配置如下ACL 规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40随意编辑精品文档rule0 禁止 S3526E

23、的所有端口接收冒充网关的ARP 报文，其中斜体部分64010105 是网关 IP 地址的 16 进制表示形式。2.下发 ACL 到全局S3526E packet-filter user-group 5000仿冒他人 IP 的 ARP 防攻击一、组网需求：作为网关的设备有可能会出现错误ARP 的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP 攻击报文进行过滤。二、组网图：参见图 1和图 2三、配置步骤：1.如图 1 所示，当 PC-B 发送源 IP 地址为 PC-D 的 arp reply攻击报文，源 mac是 PC-B 的 mac (000d-88f8-09fa) ，源 ip 是

24、PC-D 的，目的 ip和 mac 是网关（ 3552P ）的，这样 3552 上就会学习到错误的arp ，如下所示：-错误 arp表项-IP AddressMAC AddressVLAN ID Port NameAging Type100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D 的 arp 表项应该学习到端口E0/8 上，而不应该学习到 E0/2 端口上。但实际上交换机上学习到该ARP 表项在 E0/2 。上述现象可以在 S3552 上配置静态 ARP 实现防攻击：随