高级acl访问控制列表的配置

高级访问控制列表的配置：

知识链接：

高级访问控制列表可以根据IP报文的源IP地址、IP报文的目的IP地址、
IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、
TCP报文的源接口号、TCP 报文的目的接口号、UDP报文的源接口号和UDP报文的目的接口号等信息来定义规则。
基本访问控制列表的功能只是高级访问控制列表的功能中的一个子集，
高级访问控制列表可以定义出更精准、更复杂、更灵活的规则。
高级访问控制列表中规则的配置比基本访问控制列表中规则的配置复杂得多，
并且配置命令的格式也会因为IP报文的载荷数据类型的不同而不同。
例如，针对ICMP报文、TCP报文、UDP报文等不同类型的报文，
其相应的配置命令的格式也是不同的。高级访问控制列表的编号范围为3000～3999。

在路由器上应用高级访问控制列表,对访问服务器的数据流量进行控制。禁止市场部访问FTP服务的数据流通过，但同时服务器又向公司市场部和技术部用户提供了Web服务，而除此之外对服务器的其他访问均被拒绝，从而达到保护服务器和数据安全的

拓扑图：

实验步骤：

RA

#
interface Serial1/0/0
 link-protocol ppp
 ip address 192.168.3.1 255.255.255.0 
#
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
 traffic-filter inbound acl 3000   // 将acl应用在接口上
#
interface GigabitEthernet0/0/1
 ip address 192.168.2.254 255.255.255.0 
#

ip route-static 192.168.4.0 255.255.255.0 192.168.3.2
#

#
acl number 3000  
 rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destinat
ion-port range ftp-data ftp 
  
 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 desti
nation-port eq www 
  
 rule 15 deny ip 
#
  

 
// acl number 3000
//定义了一个编号为3000的访问控制列表。
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destination-port range ftp-data ftp
这条规则拒绝从源地址192.168.1.0/24到目标地址192.168.4.1的TCP流量，如果其目标端口是ftp-data或ftp。
  
rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq www
这条规则允许从源地址192.168.1.0/24到目标地址192.168.4.1的TCP流量，如果其目标端口是www（HTTP）。
  
rule 15 deny ip
它只是简单地拒绝所有IP流量
  
总的来说，这些规则主要用于控制从网络192.168.1.0/24到网络192.168.4.1的流量。第一个规则阻止FTP流量，第二个规则允许HTTP流量，

RB

#
interface Serial1/0/0
 link-protocol ppp
 ip address 192.168.3.2 255.255.255.0 
#
interface GigabitEthernet0/0/0
 ip address 192.168.4.254 255.255.255.0 
# 
ip route-static 192.168.1.0 255.255.255.0 192.168.3.1
ip route-static 192.168.2.0 255.255.255.0 192.168.3.1
#

启用服务器：

结果：

（1）在Mraket上可以正常访问Web服务器的。

（2）在Market上测试FTP是无法正常访问的。

（2）在trch上测试FTP是正常访问的。

`