华为交换机各种配置实例[网管必学]
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2,三层ACL
a)基本访问控制列表配置案例 、 组网需求:
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10、1、1、1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。 、配置步骤: (1)定义时间段
# 定义8:00至18:00的周期时间段。 [Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10、1、1、1的ACL
# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10、1、1、1的访问规则。
[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10、1、1、1 0 time-range huawei
华为交换机各种配置实例[网管必学]
(3)激活ACL。
# 将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例 、组网需求:
公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129、110、1、2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。 、配置步骤: (1)定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL
# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。 [Quidway] acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129、110、1、2 0、0、0、0 time-range huawei
华为交换机各种配置实例[网管必学]
(3)激活ACL。
# 将traffic-of-payserver的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的ACL 创建acl acl number 100 禁ping
rule deny icmp source any destination any 用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描与攻击
rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm
华为交换机各种配置实例[网管必学]
rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描与攻击
rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast、A 蠕虫的传播
rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 (可以不作)
rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800
华为交换机各种配置实例[网管必学]
rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置
packet-filter ip-group 100
目的:针对目前网上出现的问题,对目的就是端口号为1434的UDP报文进行过滤的配置方法,详细与复杂的配置请瞧配置手册。 NE80的配置:
NE80(config)#rule-map r1 udp any any eq 1434
//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号
华为交换机各种配置实例[网管必学]
