華為交換機ACL控制列表設置_第1頁
華為交換機ACL控制列表設置_第2頁
華為交換機ACL控制列表設置_第3頁
華為交換機ACL控制列表設置_第4頁
華為交換機ACL控制列表設置_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、華為交換機ACL控制列表設置交換機配置(三)ACL基本配置1,二層ACL組網(wǎng)需求:通過二層訪問控制列表,實現(xiàn)在每天8:0018:00時間段內對源MAC為00e0-fc010101目的MAC為00e0fc010303報文的過濾。該主機從GigabitEthernetO/1接入。.配置步驟:定義時間段#定義8:00至18:00的周期時間段。Quidwaytime-rangehuawei8:00to18:00daily定義源MAC為00e0-fc01-0101目的MAC為00e0fc010303的ACL#進入基于名字的二層訪問控制列表視圖,命名為traffic-of-linkoQuidwayacln

2、ametraffic-of-linklink#定義源MAC為00e0fc(H(H01目的MAC為00e0-fc01-0303的流分類規(guī)則。Quidway-acl-link-traffic-of-linkrule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei(3)激活ACL。# 將traffic-of-link的ACL激活。Quidway-GigabitEthernetO/1packet-filterlink-grouptraffic-of-link2三層ACLa)基本訪問控制列表配置案例.組網(wǎng)需求

3、:通過基本訪問控制列表,實現(xiàn)在每天8:0018:00時間段內對源IP為10.1.1.1主機發(fā)出報文的過濾。該主機從GigabitEthernet0/1接入。.配置步驟:(1)定義時間段# 定義8:00至18:00的周期時間段。Quidwaytime-rangehuawei8:00to18:00daily(2)定義源IP為10.1.1.1的ACL# 進入基于名字的基本訪問控制列表視圖,命名為traffic-of-host。Quidwayaclnametraffic-of-hostbasic# 定義源IP為10.1.1.1的訪問規(guī)則。Quidway-acl-basic-traffic-of-hos

4、trule1denyipsource10.1.1.10time-rangehuawei(3)激活ACL。# 將traffic-of-host的ACL激活。Quidway-GigabitEthernet0/1packet-filterinboundip-grouptraffic-of-hostb)高級訪問控制列表配置案例.組網(wǎng)需求:公司企業(yè)網(wǎng)通過Switch的端口實現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入,工資查詢服務器的地址為129.110.1.2要求正確配置ACL,限制研發(fā)部門在上班時間8:00至18:00訪問工資服務器。.配置步驟:(1)定義時間段# 定

5、義8:00至18:00的周期時間段。定義時間一ACL規(guī)則創(chuàng)建一設定規(guī)則激活規(guī)則Quidwaytime-rangehuawei8:00to18:00working-day(2)定義到工資服務器的ACL# 進入基于名字的高級訪問控制列表視圖,命名為traffic-of-payserver。Quidwayaclnametraffic-of-payserveradvanced# 定義研發(fā)部門到工資服務器的訪問規(guī)則。Quidway-acl-adv-traffic-of-payserverrule1denyipsourceanydestination129.110.1.20.0.0.0time-range

6、huawei(3)激活ACL。# 將traffic-of-payserver的ACL激活。Quidway-GigabitEthernet0/1packet-filterinboundip-grouptraffic-of-payserver3,常見病毒的ACL創(chuàng)建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestinatio

7、n-porteq4444用于控制沖擊波病毒的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydest

8、ination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的

9、掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-por

10、teq1434下面的不出名的病毒端口號(可以不作)ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-port

11、eq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourc

12、eanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下發(fā)配置packet-filterip-group100目的:針對目前網(wǎng)上出現(xiàn)的問題,對目的是端口號為1434的UDP報文進行過濾的配置方法,詳細和復雜的配置請看配置手冊。NE80的配置:NE80(config)#rule-mapr1udpanyanyeq1434/r1為role-map的名字)udp為關鍵字)anyany所有源、目的IP,eq為等于,1434為udp端口號NE80(config)#a

13、clalrideny/a1為acl的名字,ri為要綁定的rule-map的名字,NE80(config-if-Ethernet1/0/0)#access-groupaclal在1/0/0接口上綁定acl,acl為關鍵字,al為acl的名字NE16的配置:NE16-4(config)#firewallenableall首先啟動防火墻NE16-4(config)#access-list101denyudpanyanyeq1434/deny為禁止的關鍵字,針對udp報文,anyany為所有源、目的IP,eq為等于,1434為udp端口號NE16-4(config-if-Ethemet2/2/0)#i

14、paccess-group101in/在接口上啟用access-list,in表示進來的報文,也可以用out表示出去的報文中低端路由器的配置RouterfirewallenableRouteracl101Router-acl-101ruledenyudpsourceanydestionanydestination-porteq1434Router-Ethernet0firewallpacket-filter101inbound6506產(chǎn)品的配置:舊命令行配置如下:6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-

15、if-Ethernet5/0/1)#access-groupaaa國際化新命令行配置如下:Quidwayaclnumber100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidway-acl-adv-100quitQuidwayinterfaceethernet5/0/1Quidway-Ethernet5/0/1packet-filterinboundip-group100not-care-for-interface5516產(chǎn)品的配置:舊命令行配置如下:5516(config)#rul

16、e-mapl3aaaprotocol-typeudpingressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb國際化新命令行配置如下:Quidwayaclnum100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidwaypacket-filte門p-group1003526產(chǎn)品的配置:舊命令行配置如下:rule-mapl3r10

17、.0.0.00.0.0.01.1.0.0255.255.0.0eq1434flow-actionf1denyaclacl1r1f1access-groupacl1國際化新命令配置如下:aclnumber100rule0denyudpsource0.0.0.00source-porteq1434destination1.1.0.00packet-filterip-group101rule0注:3526產(chǎn)品只能配置外網(wǎng)對內網(wǎng)的過濾規(guī)則,其中1.1.0.0255.255.0.得內網(wǎng)的地址段。8016產(chǎn)品的配置:舊命令行配置如下:8016(config)#rule-mapintervlanaaaudp

18、anyanyeq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10portall國際化新命令行配置如下:8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同網(wǎng)段ARP欺騙的ACL一、組網(wǎng)需求:1.二層交換機阻止網(wǎng)絡用戶仿冒網(wǎng)關IP的ARP攻擊二、組網(wǎng)圖:圖1二層交換機防ARP攻擊組網(wǎng)S3552P是三層設備,其中IP:10

19、0.1.1.1是所有PC的網(wǎng)關,S3552P上的網(wǎng)關MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件?,F(xiàn)在需要對S3026C_A進行一些特殊配置,目的是過濾掉仿冒網(wǎng)關IP的ARP報文。三、配置步驟對于二層交換機如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機,可以配置ACL來進行ARP報文過濾。全局配置ACL禁止所有源IP是網(wǎng)關的ARP報文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把

20、整個S3026C_A的端口冒充網(wǎng)關的ARP報文禁掉,其中斜體部分64010101是網(wǎng)關IP地址100.1.1.1的16進制表示形式。Rule1允許通過網(wǎng)關發(fā)送的ARP報文,斜體部分為網(wǎng)關的mac地址000f-e200-3999。注意:配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:S3026C-Apacket-filteruser-group5000這樣只有S3026C_A上連網(wǎng)關設備才能夠發(fā)送網(wǎng)關的ARP報文,其它主機都不能發(fā)送假冒網(wǎng)關的arp響應報文。三層交換機實現(xiàn)仿冒網(wǎng)關的ARP防攻擊一、組網(wǎng)需求:1.三層交換機實現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)

21、關IP的ARP攻擊二、組網(wǎng)圖S3552S3526E1001.1.4/24圖2三層交換機防ARP攻擊組網(wǎng)三、配置步驟1 對于三層設備,需要配置過濾源IP是網(wǎng)關的ARP報文的ACL規(guī)則,配置如下ACL規(guī)則:aclnumber5000rule0deny0806ffff2464010105ffffffff40rule。禁止S3526E的所有端口接收冒充網(wǎng)關的ARP報文,其中斜體部分64010105是網(wǎng)關IP地址100.1J.5的16進制表示形式。2 .下發(fā)ACL到全局S3526Epacket-filteruser-group5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求;作為網(wǎng)關的設備有可能會出現(xiàn)錯誤

22、ARP的表項,因此在網(wǎng)關設備上還需對用戶仿冒他人IP的ARP攻擊報文進行過濾。二、組網(wǎng)圖:參見圖1和圖2三、配置步驟:1.如圖1所示,當PC-B發(fā)送源1P地址為PC-D的arpreply攻擊報文,源mac是PC-B的mac(000d-88fB-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是網(wǎng)關(3552P)的,這樣3552上就會學習到錯誤的arp,如下所示:錯誤arp表項IPAddressMACAddressVLANIDPortNameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3OOOf-3d81-45b41EthernetO/220Dynamic從網(wǎng)絡連接可以知道PC-D的arp表項應該學習到端口E0/8上而不應該學習到E0/2端口上。但實際上交換機上學習到該ARP表項在E0/2o上述現(xiàn)象可以在S3S52上配置靜態(tài)ARP實現(xiàn)防攻擊:arpstatic100.1.1.3000f-3d81-45b41eO/82.在圖2S3526C上也可以配置靜態(tài)ARP來防止設備學習到錯誤的ARP表

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論