原理概述
基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展,编号范围为3000~2999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来兴义规则。
高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更广泛的应用。
实验目的
实验内容
本实验模拟企业网络环境。R1为分支机构A管理员所在的IT部门网关,R2为分支机构A的用户部门网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备。企业原始设计思想想要通过远程方式管理和兴网络路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问。同时又要求只能管理R4上的4.4.4.4这台服务器,另一台同样直连R4的服务器40.40.40.40不能被管理(本实验PC使用环回接口模拟)。
实验编址
设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
R1 | GE0/0/0 | 10.0.13.1 | 255.255.255.0 | N/A |
Loopback0 | 1.1.1.1 | 255.255.255.255 | N/A | |
R2 | GE0/0/0 | 10.0.23.2 | 255.255.255.0 | N/A |
R3 | GE0/0/0 | 10.0.13.3 | 255.255.255.0 | N/A |
GE0/0/1 | 10.0.23.3 | 255.255.255.0 | N/A | |
GE0/0/2 | 10.0.34.3 | 255.255.255.0 | N/A | |
Loopback0 | 3.3.3.3 | 255.255.255.255 | N/A | |
R4 | GE0/0/0 | 10.0.34.4 | 255.255.255.0 | N/A |
Loopback0 | 4.4.4.4 | 255.255.255.255 | N/A | |
Loopback 1 | 40.40.40.40 | 255.255.255.255 | N/A |
实验拓扑
实验步骤
1.基本配置
根据实验编址表进行相应的基本配置,并检测各直连链路ed连通性。
2.搭建OSPF网络
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[R4]ospf 1
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 10.0.34.4 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0
配置完成后,在R1的路由表上查看OSPF的路由信息。
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 5 Routes : 5
OSPF routing table status :
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
3.3.3.3/32 OSPF 10 1 D 10.0.13.3 GigabitEthernet 0/0/0
4.4.4.4/32 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
10.0.23.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
10.0.34.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
40.40.40.40/32 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
OSPF routing table status :
Destinations : 0 Routes : 0
3.配置Telnet
在总部核心路由器R4上配置Telnet相关配置,配置用户密码huawei
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
配置完成后,尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接。
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 ...
Connected to 4.4.4.4 ...
Login authentication
Password:
再尝试与R4的环回接口1的IP地址的Telnet连接。
Press CTRL_] to quit telnet mode
Trying 40.40.40.40 ...
Connected to 40.40.40.40 ...
Login authentication
Password:
由此发现,只要是路由器可达的设备,且拥有Telnet的密码,都可以正常登录。
4.配置高级ACL控制访问
根据设计要求:R1的环回接口只能通过R4上的4.4.4.4进行Telnet访问,但是不能通过40.40.40.40访问。
如果要R1只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为标准ACL只能通过匹配源地址实现过滤,所以要使用高级ACL。
在R4上使用acl命令创建一个高级ACL3000
[R4]acl 3000
在高级ACL视图中,使用rule命令配置ACL规则,ip为协议类型,允许源地址为1.1.1.1、目的地址为4.4.4.4的数据包通过。
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
配置完成后,查看ACL配置信息。
[R4]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 1 rule
Acl's step is 5
rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0
可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则的ID就是5。将ACL调用在VTY下,使用inbound参数,即在R4的数据入方向上调用。
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
配置完成后,在R1上使用环回口地址分别尝试访问4.4.4.4和40.40.40.40
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 ...
Connected to 4.4.4.4 ...
Login authentication
Password:
Press CTRL_] to quit telnet mode
Trying 40.40.40.40 ...
Error: Can't connect to the remote host
可以观察到,此时过滤已经实现,R1只能使用环回口地址访问4.4.4.4,却不能访问40.40.40.40。