收藏 分销(赏)
立即下载 开通VIP

华为交换机ACL控制列表设置.doc

上传人:仙人****88 文档编号:9400911 上传时间:2025-03-24 格式:DOC 页数:7 大小:102.04KB
下载 相关 举报
华为交换机ACL控制列表设置.doc_第1页
第1页 / 共7页
华为交换机ACL控制列表设置.doc_第2页
第2页 / 共7页
点击查看更多>>
资源描述
窗体顶端 交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。 [Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。 [Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。 [Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。 [Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei (3)激活ACL。 # 将traffic-of-host的ACL激活。 [Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例 .组网需求: 公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。 定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL # 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。 [Quidway] acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。 [Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3)激活ACL。 # 将traffic-of-payserver的ACL激活。 [Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的ACL 创建acl acl number 100 禁ping rule deny icmp source any destination any 用于控制Blaster蠕虫的传播 rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击 rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击 rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播 rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 (可以不作) rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置 packet-filter ip-group 100 目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。 NE80的配置: NE80(config)#rule-map r1 udp any any eq 1434 //r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号 NE80(config)#acl a1 r1 deny //a1为acl的名字,r1为要绑定的rule-map的名字, NE80(config-if-Ethernet1/0/0)#access-group acl a1 //在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字 NE16的配置: NE16-4(config)#firewall enable all //首先启动防火墙 NE16-4(config)#access-list 101 deny udp any any eq 1434 //deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp端口号 NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in //在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文 中低端路由器的配置 [Router]firewall enable [Router]acl 101 [Router-acl-101]rule deny udp source any destion any destination-port eq 1434 [Router-Ethernet0]firewall packet-filter 101 inbound 6506产品的配置: 旧命令行配置如下: 6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下: [Quidway]acl number 100 [Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit [Quidway]interface ethernet 5/0/1 [Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface 5516产品的配置: 旧命令行配置如下: 5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff 5516(config)#access-group bbb 国际化新命令行配置如下: [Quidway]acl num 100 [Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 100 3526产品的配置: 旧命令行配置如下: rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1 国际化新命令配置如下: acl number 100 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0 注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。 8016产品的配置: 旧命令行配置如下: 8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny 8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下: 8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny 8016(config)#access-group eacl bbb vlan 10 port all 防止同网段ARP欺骗的ACL 一、组网需求: 1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击 二、组网图: 图1二层交换机防ARP攻击组网 S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。 三、配置步骤 对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。 全局配置ACL禁止所有源IP是网关的ARP报文 acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。 注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。 在S3026C-A系统视图下发acl规则: [S3026C-A] packet-filter user-group 5000 这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。 三层交换机实现仿冒网关的ARP防攻击 一、组网需求: 1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击 二、组网图 图2三层交换机防ARP攻击组网 三、配置步骤 1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则: acl number 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40 rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。 2.下发ACL到全局 [S3526E] packet-filter user-group 5000 仿冒他人IP的ARP防攻击 一、组网需求: 作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。 二、组网图: 参见图1和图2 三、配置步骤: 1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示: --------------------- 错误 arp表项 -------------------------------- IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic 从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击: arp static 100.1.1.3 000f-3d81-45b4 1 e0/8 2.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。 3.对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作: am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4 端口绑定 则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。 四、配置关键点: 此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。 5,关于ACL规则匹配的说明 a) ACL直接下发到硬件中的情况 交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。 ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。 b) ACL被上层模块引用的情况 交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。 ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等。
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传
相似文档                                   自信AI助手自信AI助手

当前位置:首页 > 教育专区 > 小学其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服