原理概述
基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所有基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可以使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则。高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用。
实验目的
- 理解高级访问控制列表的应用场景
- 掌握配置高级访问控制列表的方法
- 理解高级访问控制列表与基本访问控制列表的区别
实验内容
R1为IT部门的网关,R2为用户部门的网关,R3为去往总部出口的网关设备,R4为总部核心路由器设备。企业原始设计思路想要通过远程方式管理核心网络路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问。同时又要求只能管理R4上的4.4.4.4,不能管理40.40.40.40(本实验由环回接口模拟)。
实验拓扑
实验配置
R1配置:
#
interface GigabitEthernet0/0/0
ip address 10.0.13.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 10.0.13.0 0.0.0.255
network 1.1.1.1 0.0.0.0
#
R2配置:
#
interface GigabitEthernet0/0/0
ip address 10.0.23.2 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.0.23.0 0.0.0.255
#
R3配置:
#
interface GigabitEthernet0/0/0
ip address 10.0.13.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.0.23.3 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.0.34.3 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 10.0.13.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 10.0.34.0 0.0.0.255
network 3.3.3.3 0.0.0.0
#
R4配置:
使用rule命令配置ACL规则,ip为协议类型
#
acl number 3000
rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0
#
interface GigabitEthernet0/0/0
ip address 10.0.34.4 255.255.255.0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
interface LoopBack1
ip address 40.40.40.40 255.255.255.255
#
ospf 1
area 0.0.0.0
network 10.0.34.0 0.0.0.255
network 4.4.4.4 0.0.0.0
network 40.40.40.40 0.0.0.0
#
user-interface vty 0 4
acl 3000 inbound
set authentication password cipher IWAu5q'8Q;=H)H2[EInBA0O#
#
验证:
<R1>telnet -a 1.1.1.1 4.4.4.4
Trying 4.4.4.4 ...
Press CTRL+K to abort
Connected to 4.4.4.4 ...
Login authentication
Password:
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2020-04-10 02:56:08.
<R4>
<R1>telnet -a 1.1.1.1 40.40.40.40
Trying 40.40.40.40 ...
Press CTRL+K to abort
Error: Failed to connect to the remote host.
可以观察到,R1可以访问4.4.4.4,不能访问40.40.40.40
此外,高级ACL还可以实现对源、目的端口、协议号等信息的匹配,功能非常强大。