华为交换机ACL控制列表设置

1、【最新整理，下载后即可编辑】交换机配置（三）ACL基本配置1, 二 层 ACL.组网需求：通过二层访问控制列表，实现在每天8:0018:00时间段内对源 MAC 为00e0-fc01-0101 目的 MAC 为00e0-fc01-0303报文的过滤。 该主机从 GigabitEthernet0/1 接入。配置步骤：定义时间段#定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily定义源 MAC 为00e0-fc01-0101 目的 MAC 为00e0-fc01-0303的 ACL#进入基于名字的二层访问控制列表视图，命名

2、为 traffic-of-linkoQuidway acl name traffic-of-link link#义源 MAC 为00e0-fc01-0101 目的 MAC 为00e0-fc01-0303的 流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei激活ACLo# 将 traffic-of-link 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-fil

3、ter link-group traffic-of-link2三层ACLa）基本访问控制列表配置案例组网需求：通过基本访问控制列表，实现在每天8:0018:00时间段内对源 IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1 接入。配置步骤：定义时间段#定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily定义源IP为10.1.1.1的ACL#进入基于名字的基本访问控制列表视图，命名为 traffic-of-hosto Quidway acl name traffic-of-host

4、basic#定义源IP为10.1 11的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei激活ACLotraffic-of-host 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-host b）高级访问控制列表配置案例组网需求：公司企业网通过Switch的端口实现各部门之间的互连。研发部 门的由GigabitEthernet0/1端口接入，工资查询服务器的地址

5、为 129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00 至18:00访问工资服务器。配置步骤：定义时间段#定义8:00至18:00的周期时间段。定义时间一ACL规则创建一设定规则一激活规则Quidway time-range huawei &00 to 18:00 working-day定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图，命名为 traffic-of-payserver。Quidway acl name traffic-of-payserver advanced#定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic

6、-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei激活ACL。# 将 traffic-of-payserver 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver3，常见病毒的ACL创建aclacl number 100禁 pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播r

7、ule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any d

8、estination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-

9、port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击 TOC o 1-5 h z ruledenytcpsourceanydestinationany destination-port eq445ruledeny

10、tcpsourceanydestinationany destination-port eq5554ruledenytcpsourceanydestinationany destination-port eq9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A蠕虫的传播rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 (可以不作) TOC o 1-5 h z r

11、uledeny tcpsourceany destination any destination-port eq1068ruledeny tcpsourceany destination any destination-port eq5800ruledeny tcpsourceany destination any destination-port eq5900ruledeny tcpsourceany destination any destination-port eq10080ruledeny tcpsourceany destination any destination-port e

12、q455rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destinat

13、ion any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置 packet-filter ip-group 100目的：针对目前网上出现的问题，对目的是端口号为1434的 UDP报文进行过滤的配置方法，详细和复杂的配置请看配置 手册。NE80的配置：NE80(config)#rule-map r1 udp any a

14、ny eq 1434/r1为role-map的名字，udp为关键字，any any所有源、目 的IP，eq为等于，1434为udp端口号NE80(config)#acl a1 r1 deny/a1为acl的名字，r1为要绑定的rule-map的名字， NE80(config-if-Ethernet1/0/0)#access-group acl a1 /在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字 NE16的配置：NE16-4(config)#firewall enable all/首先启动防火墙NE16-4(config)#access-list 101 deny udp

15、any any eq 1434 /deny为禁止的关键字，针对udp报文，any any为所有源、 目的IP，eq为等于，1434为udp端口号 NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in /在接口上启用access-list，in表示进来的报文，也可以用out 表示出去的报文 中低端路由器的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434Router-Et

16、hernet0firewall packet-filter 101 inbound 6506产品的配置：旧命令行配置如下： 6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa国际化新命令行配置如下： Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidway-ac

17、l-adv-100quit Quidwayinterface ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置： 旧命令行配置如下：5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff5516(config)#acce

18、ss-group bbb国际化新命令行配置如下：Quidwayacl num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidwaypacket-filter ip-group 1003526产品的配置： 旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：a

19、cl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置： 旧命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny8016(config)#access-grou

20、p acl bbb vlan 10 port all 国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1.二层交换机阻止网络用户仿冒网关IP的ARP攻击、组网图:S3552P是三层设备，其中IP: 100.1.1.1是所有PC的网关,3552P 上的网关MAC地址为000f-e200-3999。PC-B上装

21、有ARP攻击 软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤 掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为 5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。 全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉, 其中斜体

22、部分64010101是网关IP地址100.1.1.1的16进制表示形 式。Rule 1允许通过网关发送的ARP报文，斜体部分为网关的 mac 地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的 情况。在S3026C-A系统视图下发acl规则：S3026C-A packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报 文，其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1.三层交换机实现防止同网段的用户仿冒网关IP的ARP攻 击二、组网图图2三层交换

23、机防ARP攻击组网三、配置步骤1对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL 规则，配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40ruleO禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜 体部分64010105是网关IP地址100.1.1.5的16进制表示形式。2下发ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设 备上还需对用户仿冒他人IP的A

24、RP攻击报文进行过滤。二、组网图：参见图1和图2三、配置步骤：1如图1所示，当PC-B发送源IP地址为PC-D的arp reply攻击报 文，源 mac 是 PC-B 的 mac (000d-88f8-09fa)，源 ip 是 PC-D 的 ip(100.1.1.3)，目的ip和mac是网关(3552P)的，这样3552上就 会学习到错误的arp，如下所示：错误arp表项IP AddressMAC AddressVLAN ID Port NameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口 E0/8上， 而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP 表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻 击：arp static 100.1.1.3 000f-3d81-45b4 1 eO/82在图2