华为交换机各种配置方法(9)

access-group acl1

国际化新命令配置如下：

acl number 100

rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0

注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。

8016产品的配置：

旧命令行配置如下：

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all

国际化新命令行配置如下：

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#eacl bbb aaa deny

8016(config)#access-group eacl bbb vlan 10 port all

防止同网段ARP欺骗的ACL

一、组网需求：

1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击

二、组网图：

图1二层交换机防ARP攻击组网

S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

三、配置步骤

对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文

acl num 5000

rule 0 deny 0806 ffff 24 64010101 ffffffff 40

rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34

其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：

[S3026C-A] packet-filter user-group 5000

这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库华为交换机各种配置方法(9)在线全文阅读。