华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置

1，二层

ACL

. 组网需求:

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层

ACL

a)基本访问控制列表配置案例 . 组网需求:

通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei (3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例

.组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资服务器。

.配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。 定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。 [Quidway] acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver 3，常见病毒的ACL 创建acl

acl number 100 禁ping

rule deny icmp source any destination any 用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击

rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击

rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播

rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 （可以不作）

rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080

rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置

packet-filter ip-group 100

目的：针对目前网上出现的问题，对目的是端口号为1434的UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。 NE80的配置：

NE80(config)#rule-map r1 udp any any eq 1434

//r1为role-map的名字，udp 为关键字，any any 所有源、目的IP，eq为等于，1434为udp端口号

NE80(config)#acl a1 r1 deny

//a1为acl的名字，r1为要绑定的rule-map的名字， NE80(config-if-Ethernet1/0/0)#access-group acl a1

//在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字 NE16的配置：

NE16-4(config)#firewall enable all //首先启动防火墙

NE16-4(config)#access-list 101 deny udp any any eq 1434

//deny为禁止的关键字，针对udp报文，any any 为所有源、目的IP，eq为等于， 1434为udp端口号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in

//在接口上启用access-list，in表示进来的报文，也可以用out表示出去的报文 中低端路由器的配置 [Router]firewall enable [Router]acl 101

[Router-acl-101]rule deny udp source any destion any destination-port eq 1434 [Router-Ethernet0]firewall packet-filter 101 inbound 6506产品的配置： 旧命令行配置如下：

6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下： [Quidway]acl number 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit

[Quidway]interface ethernet 5/0/1

[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface 5516产品的配置：

旧命令行配置如下：

5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff

5516(config)#access-group bbb 国际化新命令行配置如下： [Quidway]acl num 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 100 3526产品的配置： 旧命令行配置如下：

rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1

国际化新命令配置如下： acl number 100

rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0

注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。 8016产品的配置： 旧命令行配置如下：

8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下：

8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny

8016(config)#access-group eacl bbb vlan 10 port all 防止同网段ARP欺骗的ACL 一、组网需求：

1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击 二、组网图：

图1二层交换机防ARP攻击组网

S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。 三、配置步骤

对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文 acl num 5000

rule 0 deny 0806 ffff 24 64010101 ffffffff 40

rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34

其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。 在S3026C-A系统视图下发acl规则： [S3026C-A] packet-filter user-group 5000

这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

三层交换机实现仿冒网关的ARP防攻击 一、组网需求：

1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击 二、组网图

本文来源：https://www.bwwdw.com/article/dfbf.html