華為交換機(jī)ACL控制列表設(shè)置_第1頁
華為交換機(jī)ACL控制列表設(shè)置_第2頁
華為交換機(jī)ACL控制列表設(shè)置_第3頁
華為交換機(jī)ACL控制列表設(shè)置_第4頁
華為交換機(jī)ACL控制列表設(shè)置_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、華為交換機(jī)ACL控制列表設(shè)置交換機(jī)配置(三)ACL基本配置1 ,二層 ACL.組網(wǎng)需求:通過二層訪問控制列表,實(shí)現(xiàn)在每天 8:00 18:00時(shí)間段內(nèi)對(duì)源 MAC為00e0-fc01-0101目 的MAC 為00e0-fc01-030牙艮文的過濾。該主機(jī) 從 GigabitEthernet0/1 接入。.配置步驟:(1)定義時(shí)間段# 定義8:00至18:00的周期時(shí)間段。Quidway time-range huawei 8:00 to 18:00 daily(2)定義源 MAC 為 00e0-fc01-0101 目的 MAC 為 00e0-fc01-0303的 ACL# 進(jìn)入基于名字的二層訪

2、問控制列表視圖,命 名為 traffic-of-link 。Quidway acl name traffic-of-link link# 1 定義源 MAC 為 00e0-fc01-0101 目的 MAC 為 00e0-fc01-0303的流分類規(guī)則。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL o# 將 traffic-of-link 的 ACL 激活。 Quidway-Gigabi

3、tEthernet0/1 packet-filter link-group traffic-of-link2三層ACLa)基本訪問控制列表配置案例.組網(wǎng)需求:通過基本訪問控制列表,實(shí)現(xiàn)在每天8:0018:00時(shí)間段內(nèi)對(duì)源IP為10.1.1.1主機(jī)發(fā)出報(bào)文 的過濾。該主機(jī)從GigabitEthernet0/1接入。 .配置步驟:(1)定義時(shí)間段# 定義8:00至18:00的周期時(shí)間段。Quidway time-range huawei 8:00 to 18:00 daily(2)定義源 IP 為 10.1.1.1 的 ACL# 進(jìn)入基于名字的基本訪問控制列表視圖,命 名為 traffic-of-

4、host 。Quidway acl name traffic-of-host basic# 定義源IP為10.1.1.1的訪問規(guī)則。Quidway-acl-basic-traffic-of-host rule 1 denyip source 10.1.1.1 0 time-range huawei(3)激活 ACL o# 將 traffic-of-host 的 ACL 激活。 Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高級(jí)訪問控制列表配置案例.組網(wǎng)需求:公司企業(yè)網(wǎng)通過Switch的端口實(shí)

5、現(xiàn)各部門之 間的互連。研發(fā)部門的由 GigabitEthernet0/1 端口接入,工資查詢服務(wù)器的地址為129.110.1.2要求正確配置 ACL ,限制研發(fā)部 門在上班時(shí)間8:00至18:00訪問工資服務(wù)器。 .配置步驟:(1)定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。定義時(shí)間一ACL規(guī)則創(chuàng)建一設(shè)定規(guī)則激活規(guī)則 Quidway time-range huawei 8:00 to 18:00 working-day(2)定義到工資服務(wù)器的ACL#進(jìn)入基于名字的高級(jí)訪問控制列表視圖,命 名為 traffic-of-payserver 。Quidway acl name traffic-

6、of-payserveradvanced#定義研發(fā)部門到工資服務(wù)器的訪問規(guī)則。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活 ACL。# 將 traffic-of-payserver 的 ACL 激活。 Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver3,常見病毒的ACL創(chuàng)建aclacl number

7、100禁 pingrule deny icmp source any destination any 用于控制Blaster蠕蟲的傳播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制沖擊波病毒的掃描和攻擊rule deny tcp source any destination any destination-port eq 135rule deny udp source any d

8、estination anydestination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination anydestination-port eq 139rule deny udp source any destination anydestination-port

9、eq 139rule deny tcp source any destination anydestination-port eq 445rule deny udp source any destination anydestination-port eq 445rule deny udp source any destination anydestination-port eq 593rule deny tcp source any destination anydestination-port eq 593用于控制振蕩波的掃描和攻擊rule deny tcp source any dest

10、ination anydestination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制 Worm_MSBlast.A 蠕蟲的傳播 rule deny udp source any destination any dest

11、ination-port eq 1434下面的不出名的病毒端口號(hào)(可以不作)rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080r

12、ule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination anydestination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination anydest

13、ination-port eq 4510rule deny udp source any destination anydestination-port eq 4334rule deny tcp source any destination anydestination-port eq 4331rule deny tcp source any destination anydestination-port eq 4557然后下發(fā)配置packet-filter ip-group 100目的:針對(duì)目前網(wǎng)上出現(xiàn)的問題,對(duì)目的是端 口號(hào)為1434的UDP報(bào)文進(jìn)行過濾的配置方法, 詳細(xì)和復(fù)雜的配置請(qǐng)看配

14、置手冊(cè)。NE80的配置:NE80(config)#rule-map r1 udp any any eq1434/r1為role-map的名字)udp為關(guān)鍵字)any any所有源、目的IP, eq為等于)1434為udp 端口號(hào)NE80(config)#acl al ri deny/a1為acl的名字,ri為要綁定的rule-map的 名字,NE80(config-if-Ethernet1/0/0)#access-group acl al在1/0/0接口上綁定acl, acl為關(guān)鍵字,al為 acl的名字NE16的配置:NE16-4(config)#firewall enable all首先啟

15、動(dòng)防火墻NE16-4(config)#access-list 101 deny udp any any eq 1434/deny為禁止的關(guān)鍵字,針對(duì)udp報(bào)文,any any為所有源、目的IP, eq為等于,1434為 udp端口號(hào)NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in在接口上啟用access-list,in表示進(jìn)來的報(bào)文, 也可以用out表示出去的報(bào)文中低端路由器的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any desti

16、on any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound6506產(chǎn)品的配置: 舊命令行配置如下:6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-groupaaa國際化新命令行配置如下:Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination a

17、ny destination-port eq 1434 Quidway-acl-adv-100quit Quidwayinterface ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface 5516產(chǎn)品的配置: 舊命令行配置如下:5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(co

18、nfig)#acl bbb aaa fff5516(config)#access-group bbb國際化新命令行配置如下:Quidwayacl num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidwaypacket-filter ip-group 1003526產(chǎn)品的配置:舊命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0255.255.0.0 eq 1434flow-action f1 denyacl acl

19、1 r1 f1access-group acl1國際化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526產(chǎn)品只能配置外網(wǎng)對(duì)內(nèi)網(wǎng)的過濾規(guī)則,其中1.1.0.0 255.255.0.得內(nèi)網(wǎng)的地址段。8016產(chǎn)品的配置:舊命令行配置如下:8016(config)#rule-map intervlan aaa udpany any eq 14348016(config)#acl bbb

20、 aaa deny8016(config)#access-group acl bbb vlan 10port all國際化新命令行配置如下:8016(config)#rule-map intervlan aaa udpany any eq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10port all防止同網(wǎng)段ARP欺騙的ACL一、組網(wǎng)需求:1.二層交換機(jī)阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖:圖1二層交換機(jī)防ARP攻擊組網(wǎng)S3552P是三層設(shè)備,其中IP: 100.1.1.1是所

21、有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān) MAC 地址為 000f-e200-3999。PC-B 上裝有 ARP 攻擊軟件?,F(xiàn)在需要對(duì)S3026C_A進(jìn)行一些特殊配置,目 的是過濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文。三、配置步驟對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL (number為5000到5999)的交換機(jī),可 以配置ACL來進(jìn)行ARP報(bào)文過濾。全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP 報(bào)文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffff

22、ffffffff 34其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān) 的ARP報(bào)文禁掉,其中斜體部分64010101是 網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報(bào)文,斜體部 分為網(wǎng)關(guān)的mac地址000f-e200-3999。注意:配置Rule時(shí)的配置順序,上述配置為 先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則: S3026C-A packet-filter user-group 5000這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送 網(wǎng)關(guān)的ARP報(bào)文,其它主機(jī)都不能發(fā)送假冒 網(wǎng)關(guān)的arp響應(yīng)報(bào)文。三層交換機(jī)實(shí)現(xiàn)仿冒網(wǎng)關(guān)的 ARP

23、防攻擊一、組網(wǎng)需求:1.三層交換機(jī)實(shí)現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖S3552S3526E圖2三層交換機(jī)防ARP攻擊組網(wǎng)三、配置步驟1 .對(duì)于三層設(shè)備,需要配置過濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則,配置如 下ACL規(guī)則:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的 ARP報(bào)文,其中斜體部分64010105 是網(wǎng)關(guān)IP地址100.1.1.516進(jìn)制表示形式。2 .下發(fā)ACL到全局S3526E packet-filter user-group 500

24、0仿冒他人IP的ARP防攻擊一、組網(wǎng)需求:作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)錯(cuò)誤 ARP的表項(xiàng),因此在網(wǎng)關(guān)設(shè)備上還需對(duì)用戶仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過濾。二、組網(wǎng)圖:參見圖1和圖2 三、配置步驟:1 .如圖1所示,當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文,源 mac 是 PC-B 的 mac (000d-88f8-09fa),源 ip 是 PC-D 的 ip(100.1.1.3),目的 ip 和 mac 是網(wǎng)關(guān)( 3552P)的,這樣3552就會(huì)學(xué)習(xí)到錯(cuò)誤的arp,如下所示: 錯(cuò)誤arp表項(xiàng)IP Address100.1.1.4100.1.1.3MAC Address000d-88f8-09fa000f-3d81-45b4VLAN ID Port Name1Ethernet0/21Ethernet0/22020Aging TypeDynamicDynamicE0/8上,而不應(yīng)該學(xué)習(xí)從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口 到E0/2端口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該 ARP表項(xiàng)在E0/2。上述現(xiàn)象可以在S3552配置靜態(tài)ARP實(shí)現(xiàn)防攻擊:arp static 100.1.1.3 000f-3d81-45b4 1 e0/

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論