华为交换机ACL控制列表设置

1、交换机配置（三）ACL基本配置1，二层ACL.组网需求：通过二层访问控制列表，实现在每天8:0018:00时间段内对源MAg00e0-fc01-0101目的MACJ00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤：(1)定义时间段#定义8:00至18:00的周期时间段。Quidwaytime-rangehuawei8:00to18:00daily定义源MACJ00e0-fc01-0101目的MACJ00e0-fc01-0303的ACL#进入基于名字的二层访问控制列表视图，命名为traffic-of-link。# Quidwayaclnamet

2、raffic-of-linklink定义源MAg00e0-fc01-0101目的MAg00e0-fc01-0303的流分类规则。# Quidway-acl-link-traffic-of-linkrule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei激活ACL将traffic-of-link的ACL激活。a) Quidway-GigabitEthernet0/1packet-filterlink-grouptraffic-of-link2三层ACL基本访问控制列表配置案例.组网需求：通过基本访问控

3、制列表，实现在每天8:0018:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤：(1)定义时间段#定义8:00至18:00的周期时间段。Quidwaytime-rangehuawei8:00to18:00daily定义源IP为10.1.1.1的ACL#进入基于名字的基本访问控制列表视图，命名为traffic-of-host。Quidwayaclnametraffic-of-hostbasic#定义源IP为10.1.1.1的访问规则。# Quidway-acl-basic-traffic-of-hostrule1denyip

4、source10.1.1.10time-rangehuawei激活ACL将traffic-of-host的ACL激活。Quidway-GigabitEthernet0/1packet-filterinboundip-grouptraffic-of-host高级访问控制列表配置案例.组网需求：公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置ACL限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤：(1)定义时间段#定义8:00至18:00的周期时间段。定义时

5、间ACL规则创建设定规则激活规则Quidwaytime-rangehuawei8:00to18:00working-day定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。Quidwayaclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserverrule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei激活ACL#将traffic-of-pays

6、erver的ACL激活。Quidway-GigabitEthernet0/1packet-filterinboundip-grouptraffic-of-payserver3,常见病毒的ACL创建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制冲击波病毒的扫描和攻击rulede

7、nytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourc

8、eanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振荡波的扫描和攻击ruledenytcpsourceanydestinat

9、ionanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制WormMSBlast.A蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口号(可以不作)ruledenyt

10、cpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinati

11、onanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-port

12、eq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下发配置packet-filterip-group100目的：针对目前网上出现的问题，对目的是端口号为1434的UDPM文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80勺配置：NE80(config)#rule-mapr1udpanyanyeq1434/r1为role-map的名字，udp为关键字，anyany所有源、目的IP,eq为等于，1434为udp端口号NE80(config)#acla1r1deny/a1为acl的名字，r1为要绑定的rule-m

13、ap的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1/在1/0/0接口上绑定acl,acl为关键字，a1为acl的名字NE16勺配置：NE16-4(config)#firewallenableall/首先启动防火墙NE16-4(config)#access-list101denyudpanyanyeq1434/deny为禁止的关键字，针对udp报文，anyany为所有源、目的IP,eq为等于，1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in/在接口上启用access

14、-list,in表示进来的报文，也可以用out表示出去的报文中低端路由器的配置RouterfirewallenableRouteracl101Router-acl-101ruledenyudpsourceanydestionanydestination-porteq1434Router-Ethernet0firewallpacket-filter101inbound6506产品的配置：旧命令行配置如下：6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-if-Ethernet5/0/1)#access-groupa

15、aa国际化新命令行配置如下：Quidwayaclnumber100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidway-acl-adv-100quitQuidwayinterfaceethernet5/0/1Quidway-Ethernet5/0/1packet-filterinboundip-group100not-care-for-interface5516产品的配置：旧命令行配置如下：5516(config)#rule-mapl3aaaprotocol-typeudpingre

16、ssanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb国际化新命令行配置如下：Quidwayaclnum100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidwaypacket-filterip-group1003526产品的配置：旧命令行配置如下：rule-mapl3r10.0.0.00.0.0.01.1.0.0255.255.0.

17、0eq1434flow-actionf1denyaclacl1r1f1access-groupacl1国际化新命令配置如下：aclnumber100rule0denyudpsource0.0.0.00source-porteq1434destination1.1.0.00packet-filterip-group101rule0注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0255.255.0.0是内网的地址段。8016产品的配置：旧命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclb

18、bbaaadeny8016(config)#access-groupaclbbbvlan10portall国际化新命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同网段ARP欺骗的ACL一、组网需求：1.二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：100.1.1.4/24100.1.1.2/2410D.1.1,3/24图1二层交换机防ARP攻击组网S3552P是三层设备，

19、其中IP:100.1.1.1是所有PC的网关，S3552P上的网关MACM址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有源IP是网关的AR网艮文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其

20、中rule0把整个S3026CA的端口冒充网关的ARP文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则：S3026C-Apacket-filteruser-group5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1.三层交换机实现防止同网段的

21、用户仿冒网关IP的ARP攻击二、组网图S3552S3526E51.11. 图2三层交换机防ARP攻击组网三、配置步骤对丁三层设备，需要配置过滤源IP是网关的ARP®文的ACL规则，配置如下ACL规贝U:aclnumber5000rule0deny0806ffff2464010105ffffffff40rule0禁止S3526E的所有端口接收冒充网关的ARP艮文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。下发ACL到全局S3526Epacket-filteruser-group5000仿冒他人IP的ARPW攻击一、组网需求：作为网关的设备有可能会出

22、现错误ARP的表项，因此在网关设备上还需对用户仿冒他人IP的ARP®击报文进行过滤。二、组网图：参见图1和图2三、配置步骤：如图1所示，当PC-B发送源IP地址为PC-D的arpreply攻击报文，源mac是PC-B的mac(000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是网关(3552P)的，这样3552上就会学习到错误的arp,如下所示：错误arp表项IPAddressMACAddressVLANIDPortNameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上，而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击：1. arpstatic100.1.1.3000f-3d81-45b41e0/8在图2S3526C上也可以配置静态AR咪防止设备