华为交换机各种配置实例[网管必学]
NE80(config)#acl a1 r1 deny
//a1为acl的名字,r1为要绑定的rule-map的名字, NE80(config-if-Ethernet1/0/0)#access-group acl a1 //在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字 NE16的配置:
NE16-4(config)#firewall enable all //首先启动防火墙
NE16-4(config)#access-list 101 deny udp any any eq 1434
//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp端口号 NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文 中低端路由器的配置 [Router]firewall enable [Router]acl 101
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434 [Router-Ethernet0]firewall packet-filter 101 inbound
华为交换机各种配置实例[网管必学]
6506产品的配置: 旧命令行配置如下:
6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下: [Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit [Quidway]interface ethernet 5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface 5516产品的配置: 旧命令行配置如下:
5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff 5516(config)#access-group bbb
华为交换机各种配置实例[网管必学]
国际化新命令行配置如下: [Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 100 3526产品的配置: 旧命令行配置如下:
rule-map l3 r1 0、0、0、0 0、0、0、0 1、1、0、0 255、255、0、0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1 国际化新命令配置如下: acl number 100
rule 0 deny udp source 0、0、0、0 0 source-port eq 1434 destination 1、1、0、0 0 packet-filter ip-group 101 rule 0
注:3526产品只能配置外网对内网的过滤规则,其中1、1、0、0 255、255、0、0就是内网的地址段。 8016产品的配置:
华为交换机各种配置实例[网管必学]
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan 10 port all 防止同网段ARP欺骗的ACL 一、组网需求:
1、 二层交换机阻止网络用户仿冒网关IP的ARP攻击 二、组网图:
图1二层交换机防ARP攻击组网
S3552P就是三层设备,其中IP:100、1、1、1就是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的就是过滤掉仿冒网关IP的ARP报文。 三、配置步骤
华为交换机各种配置实例[网管必学]
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。 全局配置ACL禁止所有源IP就是网关的ARP报文 acl num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101就是网关IP地址100、1、1、1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。 注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。 在S3026C-A系统视图下发acl规则: [S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。 三层交换机实现仿冒网关的ARP防攻击 一、组网需求:
1、 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击 二、组网图
图2 三层交换机防ARP攻击组网
华为交换机各种配置实例[网管必学]
