10.2 配置高级的访问控制列表

原理概述

        基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,就需要使用高级的访问控制列表。

        高级的访问控制列表在匹配项上做了扩展,编号范围为3000~2999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来兴义规则。

         高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更广泛的应用。

实验目的

  •         理解高级访问控制列表的应用场景
  •         掌握配置高级访问控制列表的方法
  •         理解高级访问控制列表与基本访问控制列表的区别

实验内容

        本实验模拟企业网络环境。R1为分支机构A管理员所在的IT部门网关,R2为分支机构A的用户部门网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备。企业原始设计思想想要通过远程方式管理和兴网络路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问。同时又要求只能管理R4上的4.4.4.4这台服务器,另一台同样直连R4的服务器40.40.40.40不能被管理(本实验PC使用环回接口模拟)。

实验编址

设备 接口   IP地址 子网掩码 默认网关
R1 GE0/0/0 10.0.13.1 255.255.255.0 N/A
Loopback0 1.1.1.1 255.255.255.255 N/A
R2 GE0/0/0 10.0.23.2 255.255.255.0 N/A
R3 GE0/0/0 10.0.13.3 255.255.255.0 N/A
GE0/0/1 10.0.23.3 255.255.255.0 N/A
GE0/0/2 10.0.34.3 255.255.255.0 N/A
Loopback0 3.3.3.3 255.255.255.255 N/A
R4 GE0/0/0 10.0.34.4 255.255.255.0 N/A
Loopback0 4.4.4.4 255.255.255.255 N/A
Loopback 1 40.40.40.40 255.255.255.255

N/A

实验拓扑

10.2 配置高级的访问控制列表_第1张图片

 实验步骤

1.基本配置

        根据实验编址表进行相应的基本配置,并检测各直连链路ed连通性。

2.搭建OSPF网络

        [R1]ospf 1
        [R1-ospf-1]area 0
        [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
        [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

        [R2]ospf 1
        [R2-ospf-1]area 0
        [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255


        [R3]ospf 1
        [R3-ospf-1]area 0
        [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

        [R4]ospf 1
        [R4-ospf-1]area 0
        [R4-ospf-1-area-0.0.0.0]network 10.0.34.4 0.0.0.255
        [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
        [R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0

        配置完成后,在R1的路由表上查看OSPF的路由信息。      

        dis ip routing-table protocol ospf 
        Route Flags: R - relay, D - download to fib
        ------------------------------------------------------------------------------
        Public routing table : OSPF
                 Destinations : 5        Routes : 5        

        OSPF routing table status :
                 Destinations : 5        Routes : 5

        Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

                3.3.3.3/32  OSPF    10   1           D   10.0.13.3       GigabitEthernet 0/0/0
                4.4.4.4/32  OSPF    10   2           D   10.0.13.3       GigabitEthernet 0/0/0
              10.0.23.0/24  OSPF    10   2           D   10.0.13.3       GigabitEthernet 0/0/0
              10.0.34.0/24  OSPF    10   2           D   10.0.13.3       GigabitEthernet 0/0/0
            40.40.40.40/32  OSPF    10   2           D   10.0.13.3       GigabitEthernet 0/0/0

        OSPF routing table status :
                Destinations : 0        Routes : 0

3.配置Telnet

        在总部核心路由器R4上配置Telnet相关配置,配置用户密码huawei

        [R4]user-interface vty 0 4
        [R4-ui-vty0-4]authentication-mode password
        Please configure the login password (maximum length 16):huawei

        配置完成后,尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接。

        telnet -a 1.1.1.1 4.4.4.4
          Press CTRL_] to quit telnet mode
          Trying 4.4.4.4 ...
          Connected to 4.4.4.4 ...

        Login authentication
        Password:
        

        再尝试与R4的环回接口1的IP地址的Telnet连接。

        telnet -a 1.1.1.1 40.40.40.40
          Press CTRL_] to quit telnet mode
          Trying 40.40.40.40 ...
          Connected to 40.40.40.40 ...

        Login authentication


       Password:
        

        由此发现,只要是路由器可达的设备,且拥有Telnet的密码,都可以正常登录。

4.配置高级ACL控制访问

        根据设计要求:R1的环回接口只能通过R4上的4.4.4.4进行Telnet访问,但是不能通过40.40.40.40访问。

        如果要R1只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为标准ACL只能通过匹配源地址实现过滤,所以要使用高级ACL。

        在R4上使用acl命令创建一个高级ACL3000

        [R4]acl 3000

        在高级ACL视图中,使用rule命令配置ACL规则,ip为协议类型,允许源地址为1.1.1.1、目的地址为4.4.4.4的数据包通过。
        [R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

        配置完成后,查看ACL配置信息。

        [R4]dis acl all
         Total quantity of nonempty ACL number is 1 

        Advanced ACL 3000, 1 rule
        Acl's step is 5
         rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 

        可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则的ID就是5。将ACL调用在VTY下,使用inbound参数,即在R4的数据入方向上调用。

        [R4]user-interface vty 0 4
        [R4-ui-vty0-4]acl 3000 inbound 

        配置完成后,在R1上使用环回口地址分别尝试访问4.4.4.4和40.40.40.40

        telnet -a 1.1.1.1 4.4.4.4
          Press CTRL_] to quit telnet mode
          Trying 4.4.4.4 ...
          Connected to 4.4.4.4 ...

        Login authentication


        Password:
        

        telnet -a 1.1.1.1 40.40.40.40
          Press CTRL_] to quit telnet mode
          Trying 40.40.40.40 ...
          Error: Can't connect to the remote host

        可以观察到,此时过滤已经实现,R1只能使用环回口地址访问4.4.4.4,却不能访问40.40.40.40。

你可能感兴趣的:(HCIA,网络)