華為交換機(jī)ACL控制列表設(shè)置

1、交換機(jī)配置(三)ACL基本配置1，二層 ACL.組網(wǎng)需求：通過二層訪問控制列表，實(shí)現(xiàn)在每天8:0018:00時(shí)間段內(nèi)對源 MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303 報(bào)文的過濾。該主機(jī)從GigabitEthernet0/1 接入。.配置步驟：(1) 定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。Quidway time-range huawei 8:00 to 18:00 daily(2) 定義源 MAC為 00e0-fc01-0101 目的 MAC為 00e0-fc01-0303 的 ACL#進(jìn)入基于名字的二層訪問控制列表視圖，命名為traffic-of

2、-li nk。Quidway acl n ame traffic-of-li nk link#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303 的流分類規(guī)則。Quidway-acl-li nk-traffic-of-li nk rule 1 deny in gress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-ra nge huawei激活A(yù)CL# 將 traffic-of-link 的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter lin k-gr

3、oup traffic-of-li nk2三層ACL定義8:00至18:00的周期時(shí)間段。將 traffic-of-host 的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高級訪問控制列表配置案例.配置步驟：(1)定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。定義時(shí)間ACL規(guī)則創(chuàng)建設(shè)定規(guī)則激活規(guī)則圖2三層交換機(jī)防ARF攻擊組網(wǎng)三、配置步驟1. 對于三層設(shè)備，需要配置過濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則: acl number 5000ruleO禁止

4、S3526E的所有端口接收冒充網(wǎng)關(guān)的 ARP報(bào)文，其中斜體部分是網(wǎng)關(guān)IP地址的 16進(jìn)制表示形式。2. 下發(fā)ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求：作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)錯(cuò)誤 ARP的表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對用戶仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過濾。二、組網(wǎng)圖：參見圖1和圖2三、配置步驟：1. 如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文，源mac是PC-B的 mac（000d-88f8-09fa），源 ip 是 PC-D的，目的 ip 和 mac是網(wǎng)關(guān)（3552P）的，這

5、樣 3552 上就會(huì)學(xué)習(xí)到錯(cuò)誤的arp，如下所示： 錯(cuò)誤arp表項(xiàng)IP Address MAC Address VLAN ID Port Name Agi ng TypeEthernet0/2 20 Dyn amic從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口 E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端 口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該 ARP表項(xiàng)在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài) ARP實(shí)現(xiàn)防攻擊：2. 在圖2 S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯(cuò)誤的 ARP表項(xiàng)。3. 對于二層設(shè)備（S3050C和S3026E系列），除了可以配置靜態(tài)ARP外,還可以配置IP +M

6、AC- port綁定，比如在S3026C端口 E0/4上做如下操作：端口綁定則IP為并且MAC為000d-88f8-09fa 的ARP報(bào)文可以通過E0/4端口，仿冒其它設(shè)備的ARP 報(bào)文則無法通過，從而不會(huì)出現(xiàn)錯(cuò)誤 ARPS項(xiàng)。四、配置關(guān)鍵點(diǎn)：此處僅僅列舉了部分Quidway S系列以太網(wǎng)交換機(jī)的應(yīng)用。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，請根 據(jù)配置手冊確認(rèn)該產(chǎn)品是否支持用戶自定義 ACL和地址綁定。僅僅具有上述功能的交換 機(jī)才能防止ARP欺騙。5,關(guān)于ACL規(guī)則匹配的說明a）ACL直接下發(fā)到硬件中的情況交換機(jī)中ACL可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中的過濾和流分類。此 時(shí)一條ACL中多個(gè)子規(guī)則的匹配順序是由交換機(jī)的硬件決定的，用戶即使在定義ACL時(shí)配置了匹配順序也不起作用。ACL直接下發(fā)到硬件的情況包括：交換機(jī)實(shí)現(xiàn) QoS功能時(shí)引用ACL硬件轉(zhuǎn)發(fā)時(shí)通過ACL 過濾轉(zhuǎn)發(fā)數(shù)據(jù)等。b）ACL被上層模塊引用的情況交換機(jī)也使用ACL來對由軟件處理的報(bào)文進(jìn)行過濾和流分類。此時(shí)ACL子規(guī)則的匹配順序有兩種：config （指定匹配該規(guī)則時(shí)按用戶的配置順序）和 auto （指定匹配該規(guī)則時(shí) 系統(tǒng)自動(dòng)排序，即按“深度優(yōu)先”的順序）。這種情況下用戶可以在定義 ACL的時(shí)候指定 一條ACL中多個(gè)子規(guī)則的匹