第十一章 华为交换机ACL控制列表设置.doc

窗体顶端 交换机配置（三）ACL基本配置 1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。# 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei(3)激活ACL。# 将traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 working-day(2)定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活ACL。# 将traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3，常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击