華為交換機(jī)ACL控制列表設(shè)置_第1頁(yè)
華為交換機(jī)ACL控制列表設(shè)置_第2頁(yè)
華為交換機(jī)ACL控制列表設(shè)置_第3頁(yè)
華為交換機(jī)ACL控制列表設(shè)置_第4頁(yè)
華為交換機(jī)ACL控制列表設(shè)置_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、窗體頂端交換機(jī)配置(三)ACL基本配置1,二層ACL. 組網(wǎng)需求:通過(guò)二層訪問(wèn)控制列表,實(shí)現(xiàn)在每天8:0018:00時(shí)間段對(duì)源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報(bào)文的過(guò)濾。該主機(jī)從GigabitEthernet0/1接入。.配置步驟:(1)定義時(shí)間段# 定義8:00至18:00的周期時(shí)間段。Quidway time-range huawei 8:00 to 18:00 daily(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL# 進(jìn)入基于名字的二層訪問(wèn)控制列表視圖,命名為traffic-of-link。Q

2、uidway acl name traffic-of-link link# 定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活A(yù)CL。# 將traffic-of-link的ACL激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-o

3、f-link2 三層ACLa)基本訪問(wèn)控制列表配置案例. 組網(wǎng)需求:通過(guò)基本訪問(wèn)控制列表,實(shí)現(xiàn)在每天8:0018:00時(shí)間段對(duì)源IP為10.1.1.1主機(jī)發(fā)出報(bào)文的過(guò)濾。該主機(jī)從GigabitEthernet0/1接入。.配置步驟:(1)定義時(shí)間段# 定義8:00至18:00的周期時(shí)間段。Quidway time-range huawei 8:00 to 18:00 daily(2)定義源IP為10.1.1.1的ACL# 進(jìn)入基于名字的基本訪問(wèn)控制列表視圖,命名為traffic-of-host。Quidway acl name traffic-of-host basic# 定義源IP為10.1

4、.1.1的訪問(wèn)規(guī)則。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei(3)激活A(yù)CL。# 將traffic-of-host的ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高級(jí)訪問(wèn)控制列表配置案例.組網(wǎng)需求:公司企業(yè)網(wǎng)通過(guò)Switch的端口實(shí)現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入,工資查詢服務(wù)器的地址為129.110.1.2。

5、要求正確配置ACL,限制研發(fā)部門在上班時(shí)間8:00至18:00訪問(wèn)工資服務(wù)器。.配置步驟:(1)定義時(shí)間段# 定義8:00至18:00的周期時(shí)間段。 定義時(shí)間ACL規(guī)則創(chuàng)建設(shè)定規(guī)則激活規(guī)則Quidway time-range huawei 8:00 to 18:00 working-day(2)定義到工資服務(wù)器的ACL# 進(jìn)入基于名字的高級(jí)訪問(wèn)控制列表視圖,命名為traffic-of-payserver。Quidway acl name traffic-of-payserver advanced# 定義研發(fā)部門到工資服務(wù)器的訪問(wèn)規(guī)則。Quidway-acl-adv-traffic-of-pay

6、server rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活A(yù)CL。# 將traffic-of-payserver的ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver3,常見(jiàn)病毒的ACL創(chuàng)建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕蟲的傳播rule deny

7、udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制沖擊波病毒的掃描和攻擊rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination an

8、y destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule

9、 deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振蕩波的掃描和攻擊rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destinatio

10、n any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制 Worm_MSBlast.A 蠕蟲的傳播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口號(hào) (可以不作)rule deny tcp source any destin

11、ation any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule d

12、eny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destin

13、ation-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下發(fā)配置packet-filter ip-group 100目的:針對(duì)目前網(wǎng)上出現(xiàn)的問(wèn)題,對(duì)目的是端口號(hào)為1434的UDP報(bào)文進(jìn)行過(guò)濾的配置方法,詳細(xì)和復(fù)雜的配置請(qǐng)看配置手冊(cè)。NE80的配置:NE80(config)#rule-map r1 udp any any eq 1434/r1為role-m

14、ap的名字,udp 為關(guān)鍵字,any any 所有源、目的IP,eq為等于,1434為udp端口號(hào)NE80(config)#acl a1 r1 deny/a1為acl的名字,r1為要綁定的rule-map的名字,NE80(config-if-Ethernet1/0/0)#access-group acl a1/在1/0/0接口上綁定acl,acl為關(guān)鍵字,a1為acl的名字NE16的配置:NE16-4(config)#firewall enable all/首先啟動(dòng)防火墻NE16-4(config)#access-list 101 deny udp any any eq 1434/deny為禁

15、止的關(guān)鍵字,針對(duì)udp報(bào)文,any any 為所有源、目的IP,eq為等于, 1434為udp端口號(hào)NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in/在接口上啟用access-list,in表示進(jìn)來(lái)的報(bào)文,也可以用out表示出去的報(bào)文中低端路由器的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434Router-Ethernet0firewall packet-fil

16、ter 101 inbound6506產(chǎn)品的配置:舊命令行配置如下:6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-group aaa國(guó)際化新命令行配置如下:Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidway-acl-adv-100quitQuidwayinterface

17、ethernet 5/0/1Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface5516產(chǎn)品的配置:舊命令行配置如下:5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group bbb國(guó)際化新命令行配置如下:Quidwayacl

18、 num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidwaypacket-filter ip-group 1003526產(chǎn)品的配置:舊命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1國(guó)際化新命令配置如下:acl number 100rule 0 deny udp source

19、0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526產(chǎn)品只能配置外網(wǎng)對(duì)網(wǎng)的過(guò)濾規(guī)則,其中1.1.0.0 255.255.0.0是網(wǎng)的地址段。8016產(chǎn)品的配置:舊命令行配置如下:8016(config)#rule-map intervlan aaa udp any any eq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all國(guó)際化新命令行配置如下:8

20、016(config)#rule-map intervlan aaa udp any any eq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all防止同網(wǎng)段ARP欺騙的ACL一、組網(wǎng)需求:1. 二層交換機(jī)阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖:圖1二層交換機(jī)防ARP攻擊組網(wǎng)S3552P是三層設(shè)備,其中IP:100.1.1.1是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件。現(xiàn)在需要對(duì)S3026C_A進(jìn)行一

21、些特殊配置,目的是過(guò)濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文。三、配置步驟對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機(jī),可以配置ACL來(lái)進(jìn)行ARP報(bào)文過(guò)濾。全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報(bào)文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉,其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)

22、制表示形式。Rule1允許通過(guò)網(wǎng)關(guān)發(fā)送的ARP報(bào)文,斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。注意:配置Rule時(shí)的配置順序,上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:S3026C-A packet-filter user-group 5000這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文,其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文。三層交換機(jī)實(shí)現(xiàn)仿冒網(wǎng)關(guān)的ARP防攻擊一、組網(wǎng)需求:1. 三層交換機(jī)實(shí)現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖圖2三層交換機(jī)防ARP攻擊組網(wǎng)三、配置步驟1.對(duì)于三層設(shè)備,需要配置過(guò)濾源IP是網(wǎng)關(guān)

23、的ARP報(bào)文的ACL規(guī)則,配置如下ACL規(guī)則:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文,其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.5的16進(jìn)制表示形式。2.下發(fā)ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求:作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)錯(cuò)誤ARP的表項(xiàng),因此在網(wǎng)關(guān)設(shè)備上還需對(duì)用戶仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過(guò)濾。二、組網(wǎng)圖:參見(jiàn)圖1和圖2三、配置步驟:1.如圖1所

24、示,當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是網(wǎng)關(guān)(3552P)的,這樣3552上就會(huì)學(xué)習(xí)到錯(cuò)誤的arp,如下所示:- 錯(cuò)誤 arp表項(xiàng) -IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口E0/8上,而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該ARP表項(xiàng)在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實(shí)現(xiàn)防攻擊:arp static 100.1.1.3 000f-3d81-45

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論