華為交換機ACL控制列表設置

交換機配置（三）ACL基本配置

1，二層ACL

.組網(wǎng)需求:

通過二層訪問控制列表，實現(xiàn)在每天8:00～18:00時間段內對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報文的過濾。該主機從GigabitEthernet0/1接入。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily

(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL

#進入基于名字的二層訪問控制列表視圖，命名為traffic-of-link。

[Quidway]aclnametraffic-of-linklink

#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則。

[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei

(3)激活ACL。

#將traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link

2三層ACL

a)基本訪問控制列表配置案例

.組網(wǎng)需求:

通過基本訪問控制列表，實現(xiàn)在每天8:00～18:00時間段內對源IP為10.1.1.1主機發(fā)出報文的過濾。該主機從GigabitEthernet0/1接入。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily

(2)定義源IP為10.1.1.1的ACL

#進入基于名字的基本訪問控制列表視圖，命名為traffic-of-host。

[Quidway]aclnametraffic-of-hostbasic

#定義源IP為10.1.1.1的訪問規(guī)則。

[Quidway-acl-basic-traffic-of-host]rule1denyipsource10.1.1.10time-rangehuawei

(3)激活ACL。

#將traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-host

b)高級訪問控制列表配置案例

.組網(wǎng)需求:

公司企業(yè)網(wǎng)通過Switch的端口實現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入，工資查詢服務器的地址為129.110.1.2。要求正確配置ACL，限制研發(fā)部門在上班時間8:00至18:00訪問工資服務器。

.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。定義時間－ACL規(guī)則創(chuàng)建－設定規(guī)則－激活規(guī)則[Quidway]time-rangehuawei8:00to18:00working-day

(2)定義到工資服務器的ACL

#進入基于名字的高級訪問控制列表視圖，命名為traffic-of-payserver。

[Quidway]aclnametraffic-of-payserveradvanced

#定義研發(fā)部門到工資服務器的訪問規(guī)則。

[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei

(3)激活ACL。

#將traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver

3，常見病毒的ACL

創(chuàng)建acl

aclnumber100

禁ping

ruledenyicmpsourceanydestinationany

用于控制Blaster蠕蟲的傳播

ruledenyudpsourceanydestinationanydestination-porteq69

ruledenytcpsourceanydestinationanydestination-porteq4444

用于控制沖擊波病毒的掃描和攻擊

ruledenytcpsourceanydestinationanydestination-porteq135

ruledenyudpsourceanydestinationanydestination-porteq135

ruledenyudpsourceanydestinationanydestination-porteqnetbios-ns

ruledenyudpsourceanydestinationanydestination-porteqnetbios-dgm

ruledenytcpsourceanydestinationanydestination-porteq139

ruledenyudpsourceanydestinationanydestination-porteq139

ruledenytcpsourceanydestinationanydestination-porteq445

ruledenyudpsourceanydestinationanydestination-porteq445

ruledenyudpsourceanydestinationanydestination-porteq593

ruledenytcpsourceanydestinationanydestination-porteq593

用于控制振蕩波的掃描和攻擊

ruledenytcpsourceanydestinationanydestination-porteq445

ruledenytcpsourceanydestinationanydestination-porteq5554

ruledenytcpsourceanydestinationanydestination-porteq9995

ruledenytcpsourceanydestinationanydestination-porteq9996

用于控制Worm_MSBlast.A蠕蟲的傳播

ruledenyudpsourceanydestinationanydestination-porteq1434

下面的不出名的病毒端口號（可以不作）

ruledenytcpsourceanydestinationanydestination-porteq1068

ruledenytcpsourceanydestinationanydestination-porteq5800

ruledenytcpsourceanydestinationanydestination-porteq5900

ruledenytcpsourceanydestinationanydestination-porteq10080

圖2三層交換機防ARP攻擊組網(wǎng)三、配置步驟1.對于三層設備，需要配置過濾源IP是網(wǎng)關的ARP報文的ACL規(guī)則，配置如下ACL規(guī)則：aclnumber5000rule0deny0806ffff2464010105ffffffff40rule0禁止S3526E的所有端口接收冒充網(wǎng)關的ARP報文，其中斜體部分64010105是網(wǎng)關IP地址100.1.1.5的16進制表示形式。2.下發(fā)ACL到全局[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求：作為網(wǎng)關的設備有可能會出現(xiàn)錯誤ARP的表項，因此在網(wǎng)關設備上還需對用戶仿冒他人IP的ARP攻擊報文進行過濾。二、組網(wǎng)圖：參見圖1和圖2三、配置步驟：1.如圖1所示，當PC-B發(fā)送源IP地址為PC-D的arpreply攻擊報文，源mac是PC-B的mac(000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網(wǎng)關（3552P）的，這樣3552上就會學習到錯誤的arp，如下所示：---------------------錯誤arp表項--------------------------------IPAddressMACAddressVLANIDPortNameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic從網(wǎng)絡連接可以知道PC-D的arp表項應該學習到端口E0/8上，而不應該學習到E0/2端口上。但實際上交換機上學習到該ARP表項在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實現(xiàn)防攻擊：arpstatic100.1.1.3000f-3d81-45b41e0/82.在圖2S3526C上也可以配置靜態(tài)ARP來防止設備學習到錯誤的ARP表項。3.對于二層設備（S3050C和S3026E系列），除了可以配置靜態(tài)ARP外，還可以配置IP＋MAC＋port綁定，比如在S3026C端口E0/4上做如下操作：amuser-bindip-addr100.1.1.4mac-addr000d-88f8-09fainte0/4端口綁定則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報文可以通過E0/4端口，仿冒其它設備的ARP報文則無法通過，從而不會出現(xiàn)錯誤ARP表項。四、配置關鍵點：此處僅僅列舉了部分QuidwayS系列以太網(wǎng)交換機的應用。在實際的網(wǎng)絡應用中，請根據(jù)配置手冊確認該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機才能防止ARP欺騙。5，關于ACL規(guī)則匹配的說明a)ACL直接下發(fā)到硬件中的情況交換機中ACL可以直接下發(fā)到交換機的硬件中用于數(shù)據(jù)轉發(fā)過程中的過濾和流分類。此時一條ACL中多個子規(guī)則的匹配順序是由交換機的硬件決定的，用戶即使在定義ACL時配置了匹配順序也不起作用。ACL直接下發(fā)到硬件的情況包括：交換機實現(xiàn)QoS功能時引用ACL、硬件轉發(fā)時通過ACL過濾轉發(fā)數(shù)據(jù)等。b)ACL被