HCIP-Datacom 分解实验1：访问控制列表

路由控制实验1：访问控制列表

访问控制列表（ACL： Access Control List）是一种常用的网络技术，它的基本功能是对经过网络设备的报文进行过滤处理。

ACL 是由 permit 和 deny 语句组成的一个有序规则的集合。它首先通过报文匹配过程来实现对报文的分类识别，然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行，哪些报文不能放行，从而实现对特定报文的过滤处理。除此之外，ACL 还有其他一些功能，这些功能常常被 route-policy 、QOS 、IPSec、Firewall等技术结合来使用。

ACL 的常用类型：基本ACL，高级ACL，二层ACL，用户自定义ACL等，其中应用最为广泛的是基本 ACL 和高级ACL。基本ACL 可以根据源IP 地址、报文分片标记和时间段信息来定义规则。高级ACL 可以根据源/目的IP 地址、TCP 源/目的端口号、UDP 源/目的端口号、协议号、报文优先级、报文大小、时间段等信息来定义规。高级 ACL 可以比基本 ACL 定义出精细度更高的规则。

基本 ACL  :2000-2999
高级 ACL  :3000-3999

1.基本配置

SW1：

 

设置 FTP 服务器

端口号默认 21，文件目录在D 盘，FTP 文件夹，可以自行设定，启动

 

启动之后，日志信息显示 listening 就正常工作了

设置 HTTP Web 服务器 

在D 盘建立文件夹，用记事本建立default 文件，改后缀名为 htm, 内容为 Hello,world!

  设备启动，显示就成功运行了。 

 

2.创建安全区域

路由器用域间防火墙特性来提高安全性，在R1 上建立3 个部门的安全区域 HR、 SALES、 IT

HR       区域的安全级别设置为 12
SALES  区域的安全级别设置为 10
IT         区域的安全级别设置为 8

另外，还需要创建 Trust 区域，设置 Trust 区域的安全级别为 14，将FTP 、Web 服务器放在 Trust 区域。

trust   区域的安全级别设置为 14

AR 系统路由器默认可以设置  16 种安全级别，取值 0-15, 15 保留给 Local 区域使用

配置 R1 ，并将接口划分不到同的区域中

R1:
 

 

 配置完成后，查看相应的区域信息

 

3.配置安全策略

把接口加入到相应的区域后，就可以实施基于安全区域的ACL。
在配置时，要注意路由器的防火墙特性：流量方向。
 

从较高安全级别区域去往较低安全级别区域的报文称为 outbound 报文
从较低安全级别区域去往较高安全级别区域的报文称为 inbound    报文
 

AR 系统路由器的防火墙特性允许管理员在不同的区域之间进行报文的过滤处理。

禁止SALES 和HR 部门之间的互访

启用 SALES 和HR 区域之间的防火墙。命令中的SALES 和HR 没有先后关系。
防火墙启用之后，安全级别高的区域能访问安全级别低的区域，并且应答报文也能够返回到安全级别较高的区域，但安全级别低的区域无法访问安全级别高的区域。

R1:

默认的 inbound 报文被拒绝通过，而 outbound 报文被允许通过。

 

 HR 区域安全级别为 12， SALES 区域安全级别为 10
HR 区域到 SALES 区域是 outbound 报文可以通过，而从SALES区域到 HR  区域是 inbound 报文被拒绝
用两台PC 做测试  ，PC1pingPC2可能通 . 

PC>ping 172.16.2.1

 

PC2pingPC1则不通

 

为了禁止 SALES 和 HR 这两个部门之间的互访，管理员可以在它们之间使用 ACL 达到目的。由于默认 SALES 区域不能访问 HR 区域，不需要做过滤。只需在 outbound 方向上将 HR 去往 SALES 的报文全部过滤掉即可。
 
创建高级 ACL 3000 来定义从 HR 到 SALES 的报文，在 outbound 方向上引用 ACL 3000
R1:

[R1]display firewall interzone SALES HR

用PC 测试一下，PC1 去ping PC2应该是不通的，说明相应的安全需求已经得到实现。
PC>ping 172.16.2.1

 

 

控制 Web 和 FTP 服务器的访问

SALES 部门的用户可以访问公司的 Web 服务器，但禁止访问 FTP 服务器。
SALES 安全级别为 10， trust 安全级别为14，流量方向为 inbound,防火墙默认是禁止的。因此，创建 3001在inbound 方向上明确放行SALES 区域访问 Web 的报文，其他访问报文被默认拒绝通过。

R1：
firewall interzone SALES trust 
firewall enable 

 

启用之后，PC-2 无法访问 Web 服务器
http://192.168.1.20/default.htm

创建 ACL 3001,允许 SALES 部门的用户访问 Web 服务器，并应用在 SALES 和 trust 的区域之间
R1：

 

可以看到 PC-2 可以访问 Web 服务器，但无法访问  FTP 服务器
http://192.168.1.20/default.htm

 

 

另一个需求：
IT 部门可以访问 FTP 服务器，但只能在每天的 14:00-16:00 才能访问 Web 服务器，还要求 IT 部门的用户能够随时 ping 通 FTP 和 Web 服务器。 

开启IT 和 trust 之间的防火墙，配置时间为每天的 14:00-16:00。创建ACL 3002, 放行 IT到 trust 的inbound 方向的 FTP 、Web 、ICMP 的报文。

 查看配置: display firewall interzone IT trust 

 

对设备的安全控制和管理

为实现对 R1 的安全控制和管理，现在只允许 SW1 上的 VLANIF 1 接口的 IP 地址 192.168.1.1 能够作为源地址登录到 R1.
在 R1 上配置 VTY 用户接口，允许远程主机通过 telnet 管理 R1。使用基本 ACL 对路由器的VTY 终端进行保护，只允许源地址为 192.168.1.1 的报文访问 R1 的 VTY 终端。

R1:

 

在SW1 上使用 telnet 输入密码后就能登录，<SW1>telnet 192.168.1.254

 

将SW1  的VLANIF 1 接口的 IP 地址修改为 192.168.1.2

SW1:

 

再测试一下是否能登录到 R1，更换 IP 地址后，便无法登录到 R1.
<SW1>telnet 192.168.1.254