交换机配置(三)ACL基本配置1,二层ACL.组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。[Quidway]time-rangehuawei8:00to18:00daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL#进入基于名字的二层访问控制列表视图,命名为traffic-of-link。[Quidway]aclnametraffic-of-linklink#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei(3)激活ACL。#将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2三层ACLa)基本访问控制列表配置案例.组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。[Quidway]time-rangehuawei8:00to18:00daily(2)定义源IP为10.1.1.1的ACL#进入基于名字的基本访问控制列表视图,命名为traffic-of-host。[Quidway]aclnametraffic-of-hostbasic#定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host]rule1denyipsource10.1.1.10time-rangehuawei(3)激活ACL。#将traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。定义时间-ACL规则创建-设定规则-激活规则[Quidway]time-rangehuawei8:00to18:00working-day(2)定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei(3)激活ACL。#将traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3,常见病毒的ACL创建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制冲击波病毒的扫描和攻击ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振荡波的扫描和攻击ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口号(可以不作)ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanyde...
