10.2 配置高级的访问控制列表

最新推荐文章于 2024-09-30 16:27:56 发布

AwayOnce

最新推荐文章于 2024-09-30 16:27:56 发布

阅读量3k

点赞数 1

分类专栏：数通笔记文章标签：网络

本文链接：https://blog.csdn.net/qq_45382474/article/details/121252563

版权

数通笔记专栏收录该内容

42 篇文章 12 订阅

订阅专栏

实验展示了如何利用高级访问控制列表（ACL）在企业网络环境中限制远程管理。通过配置OSPF实现网络互通，然后设置高级ACL，只允许特定源IP地址访问目标服务器的特定端口，实现了R1的环回接口只能访问R4的4.4.4.4，禁止访问40.40.40.40，从而确保了网络访问的安全性和可控性。

摘要由CSDN通过智能技术生成

原理概述

基本的ACL只能用于匹配源IP地址，而在实际应用当中往往需要针对数据的其他参数进行匹配，比如目的IP地址、协议号、端口号等，所以基本的ACL由于匹配的局限性而无法实现更多的功能，就需要使用高级的访问控制列表。

高级的访问控制列表在匹配项上做了扩展，编号范围为3000~2999，即可使用报文的源IP地址，也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来兴义规则。

高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则，也因此得到更广泛的应用。

实验目的

理解高级访问控制列表的应用场景
掌握配置高级访问控制列表的方法
理解高级访问控制列表与基本访问控制列表的区别

实验内容

本实验模拟企业网络环境。R1为分支机构A管理员所在的IT部门网关，R2为分支机构A的用户部门网关，R3为分支机构A去往总部出口的网关设备，R4为总部核心路由器设备。企业原始设计思想想要通过远程方式管理和兴网络路由器R4，要求由R1所连的PC可以访问R4，其他设备均不能访问。同时又要求只能管理R4上的4.4.4.4这台服务器，另一台同样直连R4的服务器40.40.40.40不能被管理（本实验PC使用环回接口模拟）。

实验编址

设备	接口	IP地址	子网掩码	默认网关
R1	GE0/0/0	10.0.13.1	255.255.255.0	N/A
R1	Loopback0	1.1.1.1	255.255.255.255	N/A
R2	GE0/0/0	10.0.23.2	255.255.255.0	N/A
R3	GE0/0/0	10.0.13.3	255.255.255.0	N/A
	GE0/0/1	10.0.23.3	255.255.255.0	N/A
	GE0/0/2	10.0.34.3	255.255.255.0	N/A
	Loopback0	3.3.3.3	255.255.255.255	N/A
R4	GE0/0/0	10.0.34.4	255.255.255.0	N/A
	Loopback0	4.4.4.4	255.255.255.255	N/A
	Loopback 1	40.40.40.40	255.255.255.255	N/A

实验拓扑

实验步骤

1.基本配置

根据实验编址表进行相应的基本配置，并检测各直连链路ed连通性。

2.搭建OSPF网络

        [R1]ospf 1
        [R1-ospf-1]area 0
        [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
        [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

        [R2]ospf 1
        [R2-ospf-1]area 0
        [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

        [R3]ospf 1
        [R3-ospf-1]area 0
        [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

        [R4]ospf 1
        [R4-ospf-1]area 0
        [R4-ospf-1-area-0.0.0.0]network 10.0.34.4 0.0.0.255
        [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
        [R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0

配置完成后，在R1的路由表上查看OSPF的路由信息。

        <R1>dis ip routing-table protocol ospf
        Route Flags: R - relay, D - download to fib
        ------------------------------------------------------------------------------
        Public routing table : OSPF
         Destinations : 5 Routes : 5

OSPF routing table status : <Active>
Destinations : 5 Routes : 5

Destination/Mask Proto Pre Cost Flags NextHop Interface

        3.3.3.3/32 OSPF 10 1 D 10.0.13.3 GigabitEthernet 0/0/0
          4.4.4.4/32 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
        10.0.23.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
        10.0.34.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0
        40.40.40.40/32 OSPF 10 2 D 10.0.13.3 GigabitEthernet 0/0/0

OSPF routing table status : <Inactive>
Destinations : 0 Routes : 0

3.配置Telnet

在总部核心路由器R4上配置Telnet相关配置，配置用户密码huawei

[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei

配置完成后，尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接。

        <R1>telnet -a 1.1.1.1 4.4.4.4
          Press CTRL_] to quit telnet mode
        Trying 4.4.4.4 ...
          Connected to 4.4.4.4 ...

再尝试与R4的环回接口1的IP地址的Telnet连接。

        <R1>telnet -a 1.1.1.1 40.40.40.40
        Press CTRL_] to quit telnet mode
        Trying 40.40.40.40 ...
        Connected to 40.40.40.40 ...

Password:
<R4>

由此发现，只要是路由器可达的设备，且拥有Telnet的密码，都可以正常登录。

4.配置高级ACL控制访问

根据设计要求：R1的环回接口只能通过R4上的4.4.4.4进行Telnet访问，但是不能通过40.40.40.40访问。

如果要R1只能通过访问R4的环回口0地址登录设备，即同时匹配数据包的源地址和目的地址实现过滤，此时通过标准ACL是无法实现的，因为标准ACL只能通过匹配源地址实现过滤，所以要使用高级ACL。

在R4上使用acl命令创建一个高级ACL3000

[R4]acl 3000

在高级ACL视图中，使用rule命令配置ACL规则，ip为协议类型，允许源地址为1.1.1.1、目的地址为4.4.4.4的数据包通过。
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

配置完成后，查看ACL配置信息。

[R4]dis acl all
Total quantity of nonempty ACL number is 1

        Advanced ACL 3000, 1 rule
        Acl's step is 5
         rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0

可以观察到，在不指定规则ID的情况下，默认步长为5，第一条规则的ID就是5。将ACL调用在VTY下，使用inbound参数，即在R4的数据入方向上调用。

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound

配置完成后，在R1上使用环回口地址分别尝试访问4.4.4.4和40.40.40.40

        <R1>telnet -a 1.1.1.1 4.4.4.4
          Press CTRL_] to quit telnet mode
        Trying 4.4.4.4 ...
          Connected to 4.4.4.4 ...

Password:
<R4>

        <R1>telnet -a 1.1.1.1 40.40.40.40
          Press CTRL_] to quit telnet mode
          Trying 40.40.40.40 ...
          Error: Can't connect to the remote host

可以观察到，此时过滤已经实现，R1只能使用环回口地址访问4.4.4.4，却不能访问40.40.40.40。