配置高级的访问控制列表ACL

原理概述

基本的ACL只能用于匹配源IP地址，而在实际应用当中往往需要针对数据包的其他参数进行匹配，比如目的IP地址、协议号、端口号等，所有基本的ACL由于匹配的局限性而无法实现更多的功能，所以就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展，编号范围为3000~3999，既可以使用报文的源IP地址，也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则。高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则，也因此得到更加广泛的应用。

实验目的

• 理解高级访问控制列表的应用场景
• 掌握配置高级访问控制列表的方法
• 理解高级访问控制列表与基本访问控制列表的区别

实验内容

R1为IT部门的网关，R2为用户部门的网关，R3为去往总部出口的网关设备，R4为总部核心路由器设备。企业原始设计思路想要通过远程方式管理核心网络路由器R4，要求由R1所连的PC可以访问R4，其他设备均不能访问。同时又要求只能管理R4上的4.4.4.4，不能管理40.40.40.40(本实验由环回接口模拟)。

实验拓扑

实验配置

R1配置：

#
interface GigabitEthernet0/0/0
 ip address 10.0.13.1 255.255.255.0
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255
#
ospf 1
 area 0.0.0.0
  network 10.0.13.0 0.0.0.255
  network 1.1.1.1 0.0.0.0
#

R2配置：

#
interface GigabitEthernet0/0/0
 ip address 10.0.23.2 255.255.255.0
#
ospf 1
 area 0.0.0.0
  network 10.0.23.0 0.0.0.255
#

R3配置：

#
interface GigabitEthernet0/0/0
 ip address 10.0.13.3 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 10.0.23.3 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 10.0.34.3 255.255.255.0
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255
#
ospf 1
 area 0.0.0.0
  network 10.0.13.0 0.0.0.255
  network 10.0.23.0 0.0.0.255
  network 10.0.34.0 0.0.0.255
  network 3.3.3.3 0.0.0.0
#

R4配置：
使用rule命令配置ACL规则，ip为协议类型

#
acl number 3000
 rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0
#
interface GigabitEthernet0/0/0
 ip address 10.0.34.4 255.255.255.0
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255
#
interface LoopBack1
 ip address 40.40.40.40 255.255.255.255
#
ospf 1
 area 0.0.0.0
  network 10.0.34.0 0.0.0.255
  network 4.4.4.4 0.0.0.0
  network 40.40.40.40 0.0.0.0
#
user-interface vty 0 4
 acl 3000 inbound
 set authentication password cipher IWAu5q'8Q;=H)H2[EInBA0O#
#

验证：

<R1>telnet -a 1.1.1.1 4.4.4.4
Trying 4.4.4.4 ...
Press CTRL+K to abort
Connected to 4.4.4.4 ...
Login authentication
Password:
Info: The max number of VTY users is 10, and the number
      of current VTY users on line is 1.
      The current login time is 2020-04-10 02:56:08.
<R4>

<R1>telnet -a 1.1.1.1 40.40.40.40
Trying 40.40.40.40 ...
Press CTRL+K to abort
Error: Failed to connect to the remote host.
可以观察到，R1可以访问4.4.4.4，不能访问40.40.40.40

此外，高级ACL还可以实现对源、目的端口、协议号等信息的匹配，功能非常强大。