资源预览内容
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
亲,该文档总共7页全部预览完了,如果喜欢就下载吧!
资源描述
交换机配置(三)ACL 基本配置1,二层 ACL . 组网需求 : 通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1 接入。.配置步骤 : (1)定义时间段# 定义 8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为00e0-fc01-0101 目的 MAC 为00e0-fc01-0303的 ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link 。Quidway acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101目的 MAC 为00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL 。# 将 traffic-of-link 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link 2 三层 ACLa)基本访问控制列表配置案例. 组网需求 : 通过基本访问控制列表,实现在每天8:0018:00时间段内对源IP 为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤 : (1)定义时间段# 定义 8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2)定义源 IP 为10.1.1.1的 ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host 。Quidway acl name traffic-of-host basic # 定义源 IP 为 10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei (3)激活 ACL 。# 将 traffic-of-host 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例.组网需求 : 公司企业网通过Switch 的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL ,限制研发部门在上班时间 8:00至18:00访问工资服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 7 页 - - - - - - - - - .配置步骤 : (1)定义时间段# 定义 8:00至18:00的周期时间段。定义时间 ACL 规则创建设定规则激活规则Quidway time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL # 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver 。Quidway acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3)激活 ACL 。# 将 traffic-of-payserver 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的ACL 创建 acl acl number 100 禁 ping rule deny icmp source any destination any 用于控制 Blaster 蠕虫的传播rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号(可以不作)rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 7 页 - - - - - - - - - rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置packet-filter ip-group 100 目的:针对目前网上出现的问题,对目的是端口号为1434的 UDP 报文进行过滤的配置方法,详细和复杂的配置请看配置手册。NE80的配置:NE80(config)#rule-map r1 udp any any eq 1434 /r1为 role-map 的名字, udp 为关键字, any any 所有源、目的IP,eq 为等于, 1434为udp 端口号NE80(config)#acl a1 r1 deny /a1为 acl 的名字, r1为要绑定的rule-map 的名字,NE80(config-if-Ethernet1/0/0)#access-group acl a1 /在1/0/0接口上绑定acl,acl 为关键字, a1为 acl 的名字NE16的配置:NE16-4(config)#firewall enable all /首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434 /deny 为禁止的关键字,针对udp 报文, any any 为所有源、目的IP,eq 为等于,1434为 udp 端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in /在接口上启用access-list,in 表示进来的报文,也可以用out 表示出去的报文中低端路由器的配置Routerfirewall enable Routeracl 101 Router-acl-101rule deny udp source any destion any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound 6506产品的配置:旧命令行配置如下:6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下:Quidwayacl number 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidway-acl-adv-100quit Quidwayinterface ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface 5516产品的配置:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 7 页 - - - - - - - - - 旧命令行配置如下:5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff 5516(config)#access-group bbb 国际化新命令行配置如下:Quidwayacl num 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidwaypacket-filter ip-group 100 3526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1 国际化新命令配置如下:acl number 100 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0 注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置:旧命令行配置如下:8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny 8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下:8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny 8016(config)#access-group eacl bbb vlan 10 port all 防止同网段ARP 欺骗的 ACL 一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP 的 ARP 攻击二、组网图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 7 页 - - - - - - - - - 图1二层交换机防ARP 攻击组网S3552P 是三层设备,其中IP: 100.1.1.1是所有 PC 的网关, S3552P 上的网关MAC 地址为000f-e200-3999 。PC-B 上装有 ARP 攻击软件。现在需要对S3026C_A 进行一些特殊配置,目的是过滤掉仿冒网关IP 的 ARP 报文。三、配置步骤对于二层交换机如S3026C 等支持用户自定义ACL (number 为5000到5999)的交换机,可以配置 ACL 来进行 ARP 报文过滤。全局配置 ACL 禁止所有源IP 是网关的 ARP 报文acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 其中 rule0把整个 S3026C_A 的端口冒充网关的ARP 报文禁掉,其中斜体部分64010101是网关 IP 地址 100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP 报文,斜体部分为网关的mac 地址 000f-e200-3999 。注意:配置Rule 时的配置顺序,上述配置为先下发后生效的情况。在 S3026C-A 系统视图下发acl 规则:S3026C-A packet-filter user-group 5000 这样只有 S3026C_A 上连网关设备才能够发送网关的ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。三层交换机实现仿冒网关的ARP 防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关IP 的 ARP 攻击二、组网图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 7 页 - - - - - - - - - 图2三层交换机防 ARP 攻击组网三、配置步骤1.对于三层设备, 需要配置过滤源 IP 是网关的 ARP 报文的 ACL 规则,配置如下ACL 规则:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止 S3526E的所有端口接收冒充网关的ARP 报文, 其中斜体部分 64010105是网关 IP 地址100.1.1.5的16进制表示形式。2.下发 ACL 到全局S3526E packet-filter user-group 5000仿冒他人 IP 的 ARP 防攻击一、组网需求:作为网关的设备有可能会出现错误ARP 的表项,因此在网关设备上还需对用户仿冒他人 IP 的 ARP 攻击报文进行过滤。二、组网图:参见图 1和图2三、配置步骤:1.如图1所示,当 PC-B 发送源 IP 地址为 PC-D 的 arp reply攻击报文,源 mac是PC-B 的 mac (000d-88f8-09fa),源 ip 是 PC-D 的 ip(100.1.1.3),目的 ip 和 mac是网关( 3552P)的,这样 3552上就会学习到错误的arp,如下所示:- 错误 arp 表项 -IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D 的 arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP 表项在 E0/2。上述现象可以在S3552上配置静态 ARP 实现防攻击:arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP 来防止设备学习到错误的ARP 表项。3.对于二层设备( S3050C和 S3026E系列) ,除了可以配置静态ARP 外,还可以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 7 页 - - - - - - - - - 配置 IPMAC port 绑定,比如在 S3026C端口 E0/4上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4 端口绑定则 IP 为100.1.1.4并且 MAC 为000d-88f8-09fa 的 ARP 报文可以通过 E0/4端口, 仿冒其它设备的 ARP 报文则无法通过,从而不会出现错误ARP 表项。四、配置关键点:此处仅仅列举了部分Quidway S 系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL 和地址绑定。仅仅具有上述功能的交换机才能防止ARP 欺骗。5,关于 ACL 规则匹配的说明a) ACL 直接下发到硬件中的情况交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条 ACL 中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义 ACL 时配置了匹配顺序也不起作用。ACL 直接下发到硬件的情况包括:交换机实现QoS 功能时引用 ACL、硬件转发时通过 ACL 过滤转发数据等。b) ACL 被上层模块引用的情况交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时 ACL 子规则的匹配顺序有两种: config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义 ACL 的时候指定一条 ACL 中多个子规则的匹配顺序。 用户一旦指定某一条访问控制列表的匹配顺序, 就不能再更改该顺序。 只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。ACL 被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL 等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 7 页 - - - - - - - - -
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号