華為交換機(jī)ACL控制列表設(shè)置_第1頁
華為交換機(jī)ACL控制列表設(shè)置_第2頁
華為交換機(jī)ACL控制列表設(shè)置_第3頁
華為交換機(jī)ACL控制列表設(shè)置_第4頁
華為交換機(jī)ACL控制列表設(shè)置_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

華為交換機(jī)ACL控制列表設(shè)置華為交換機(jī)ACL控制列表設(shè)置華為交換機(jī)ACL控制列表設(shè)置華為交換機(jī)ACL控制列表設(shè)置編制僅供參考審核批準(zhǔn)生效日期地址:電話:傳真:郵編:交換機(jī)配置(三)ACL基本配置1,二層ACL

.組網(wǎng)需求:

通過二層訪問控制列表,實現(xiàn)在每天8:00~18:00時間段內(nèi)對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報文的過濾。該主機(jī)從GigabitEthernet0/1接入。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily

(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL

#進(jìn)入基于名字的二層訪問控制列表視圖,命名為traffic-of-link。

[Quidway]aclnametraffic-of-linklink

#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則。

[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei

(3)激活A(yù)CL。

#將traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link

2三層ACL

a)基本訪問控制列表配置案例

.組網(wǎng)需求:

通過基本訪問控制列表,實現(xiàn)在每天8:00~18:00時間段內(nèi)對源IP為主機(jī)發(fā)出報文的過濾。該主機(jī)從GigabitEthernet0/1接入。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily

(2)定義源IP為的ACL

#進(jìn)入基于名字的基本訪問控制列表視圖,命名為traffic-of-host。

[Quidway]aclnametraffic-of-hostbasic

#定義源IP為的訪問規(guī)則。

[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuawei

(3)激活A(yù)CL。

#將traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-host

b)高級訪問控制列表配置案例

.組網(wǎng)需求:

公司企業(yè)網(wǎng)通過Switch的端口實現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入,工資查詢服務(wù)器的地址為。要求正確配置ACL,限制研發(fā)部門在上班時間8:00至18:00訪問工資服務(wù)器。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。定義時間-ACL規(guī)則創(chuàng)建-設(shè)定規(guī)則-激活規(guī)則[Quidway]time-rangehuawei8:00to18:00working-day

(2)定義到工資服務(wù)器的ACL

#進(jìn)入基于名字的高級訪問控制列表視圖,命名為traffic-of-payserver。

[Quidway]aclnametraffic-of-payserveradvanced

#定義研發(fā)部門到工資服務(wù)器的訪問規(guī)則。

[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuawei

(3)激活A(yù)CL。

#將traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver

3,常見病毒的ACL創(chuàng)建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制沖擊波病毒的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口號(可以不作)ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下發(fā)配置packet-filterip-group100目的:針對目前網(wǎng)上出現(xiàn)的問題,對目的是端口號為1434的UDP報文進(jìn)行過濾的配置方法,詳細(xì)和復(fù)雜的配置請看配置手冊。NE80的配置:NE80(config)#rule-mapr1udpanyanyeq1434二層交換機(jī)阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖:圖1二層交換機(jī)防ARP攻擊組網(wǎng)S3552P是三層設(shè)備,其中IP:是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件?,F(xiàn)在需要對S3026C_A進(jìn)行一些特殊配置,目的是過濾掉仿冒網(wǎng)關(guān)IP的ARP報文。三、配置步驟對于二層交換機(jī)如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機(jī),可以配置ACL來進(jìn)行ARP報文過濾。全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報文aclnum5000rule0deny0806ffff24ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整個S3026C_A的端口冒充網(wǎng)關(guān)的ARP報文禁掉,其中斜體部分是網(wǎng)關(guān)IP地址的16進(jìn)制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報文,斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。注意:配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:[S3026C-A]packet-filteruser-group5000這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報文,其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報文。三層交換機(jī)實現(xiàn)仿冒網(wǎng)關(guān)的ARP防攻擊一、組網(wǎng)需求:1.三層交換機(jī)實現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖圖2三層交換機(jī)防ARP攻擊組網(wǎng)三、配置步驟1.對于三層設(shè)備,需要配置過濾源IP是網(wǎng)關(guān)的ARP報文的ACL規(guī)則,配置如下ACL規(guī)則:aclnumber5000rule0deny0806ffff24ffffffff40rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報文,其中斜體部分是網(wǎng)關(guān)IP地址的16進(jìn)制表示形式。2.下發(fā)ACL到全局[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求:作為網(wǎng)關(guān)的設(shè)備有可能會出現(xiàn)錯誤ARP的表項,因此在網(wǎng)關(guān)設(shè)備上還需對用戶仿冒他人IP的ARP攻擊報文進(jìn)行過濾。二、組網(wǎng)圖:參見圖1和圖2三、配置步驟:1.如圖1所示,當(dāng)PC-B發(fā)送源IP地址為PC-D的arpreply攻擊報文,源mac是PC-B的mac(000d-88f8-09fa),源ip是PC-D的ip(),目的ip和mac是網(wǎng)關(guān)(3552P)的,這樣3552上就會學(xué)習(xí)到錯誤的arp,如下所示:---------------------錯誤arp表項--------------------------------IPAddressMACAddressVLANIDPortNameAgingType000d-88f8-09fa1Ethernet0/220Dynamic000f-3d81-45b41Ethernet0/220Dynamic從網(wǎng)絡(luò)連接可以知道PC-D的arp表項應(yīng)該學(xué)習(xí)到端口E0/8上,而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實際上交換機(jī)上學(xué)習(xí)到該ARP表項在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實現(xiàn)防攻擊:arpstatic000f-3d81-45b41e0/82.在圖2S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯誤的ARP表項。3.對于二層設(shè)備(S3050C和S3026E系列),除了可以配置靜態(tài)ARP外,還可以配置IP+MAC+port綁定,比如在S3026C端口E0/4上做如下操作:amuser-bindip-addrmac-addr000d-88

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論