好文档 - 专业文书写作范文服务资料分享网站
投稿 收藏 标签聚合
首页 > 学生作文 > 读后感 > 读后感800字 >

华为交换机ACL控制列表设置

天下 分享 时间: 加入收藏 我要投稿 点赞

精品文档

交换机配置(三)ACL基本配置

1,二层

ACL

. 组网需求:

通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层

ACL

a)基本访问控制列表配置案例

随意编辑

精品文档

. 组网需求:

通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei (3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例 .组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由

GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。 .配置步骤:

随意编辑

精品文档

(1)定义时间段

# 定义8:00至18:00的周期时间段。 定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。 [Quidway] acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的ACL 创建acl acl number 100 禁ping

rule deny icmp source any destination any 用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击

随意编辑

精品文档

rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击

rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播

rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 (可以不作)

rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080

随意编辑

精品文档

rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置

packet-filter ip-group 100

目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。 NE80的配置:

NE80(config)#rule-map r1 udp any any eq 1434

//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号

NE80(config)#acl a1 r1 deny

//a1为acl的名字,r1为要绑定的rule-map的名字, NE80(config-if-Ethernet1/0/0)#access-group acl a1 //在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字 NE16的配置:

NE16-4(config)#firewall enable all

随意编辑

华为交换机ACL控制列表设置

精品文档交换机配置(三)ACL基本配置1,二层ACL.组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段
推荐度:
点击下载文档文档为doc格式

相关推荐文档

精选图文

热门排序

推荐文章

《浮生六记》读后感800字15篇 《浮生六记》读后感800字15篇
读后感800字

热门标签

堟蘿唁?堟蘿唁?henqingshu/c15c堟蘿唁?堟蘿唁?堟蘿唁?henqingshu/堟蘿唁?购房合同百格测试方法和判断依据高校联谊策划书中级经济法考试试题及答案.doc对村财乡管村用问题分析及对策建议 - 图文堟蘿唁?堟蘿唁?堟蘿唁?堟蘿唁?解析载体面膜堟蘿唁?堟蘿唁?液压基础知识1-3装饰装修工程施工组织编制原则
9y8cd91d7x4i6jo0x1m776vac3ljxx012g6
向你推荐的相关文章

相关文章列表

领取福利

微信扫码领取福利

微信扫码分享