基本的ACL
只能用于匹配源IP
地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的地址、协议号、端口号等,所以基本的ACL
由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制表。
高级的访问控制表在匹配项做了扩展,编号范围为3000~3999
,既可使用报文的源IP
地址,也可使用目的地址、IP
优先级、IP
协议类型、ICMP
类型、TCP
源端口/目的端口号等信息来定义规则。
高级访问控制类别可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用。
实验目的
- 理解高级访问控制列表的应用场景
- 掌握配置高级访问控制列表的方法
- 理解高级访问控制列表与基本访问控制列表的区别
实验拓扑
实验步骤
-
根据如图所示进行配置,各接口主机号若为特别说明则与其编号一致
R1: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip address 10.0.13.1 24 [R1-GigabitEthernet0/0/0]int loopback 0 [R1-LoopBack0]ip address 1.1.1.1 32 R2: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R2 [R2]int g0/0/0 [R2-GigabitEthernet0/0/0]ip address 10.0.23.2 24 [R2-GigabitEthernet0/0/0]int loopback 0 [R2-LoopBack0]ip address 2.2.2.2 32 R3: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R3 [R3]int g0/0/0 [R3-GigabitEthernet0/0/0]ip address 10.0.13.3 24 [R3-GigabitEthernet0/0/0]int g0/0/1 [R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24 [R3-GigabitEthernet0/0/1]int g0/0/2 [R3-GigabitEthernet0/0/2]ip address 10.0.34.3 24 [R3-GigabitEthernet0/0/2]int loopback 0 [R3-LoopBack0]ip address 3.3.3.3 32 R4: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R4 [R4]int g0/0/0 [R4-GigabitEthernet0/0/0]ip address 10.0.34.4 24 [R4-GigabitEthernet0/0/0]int loopback 0 [R4-LoopBack0]ip address 4.4.4.4 32 [R4-LoopBack0]int loopback 1 [R4-LoopBack1]ip address 40.40.40.40 32
-
在各设备上搭建
OSPF
网络,确保全网互通R1: [R1]ospf [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 R2: [R2]ospf [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 R3: [R3]ospf [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 R4: [R4]ospf [R4-ospf-1]area 0 [R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0 [R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0
可通过查看
R1
上的OSPF
路由条目验证是否全网互通,此处省略。 -
在
R4
上配置Telnet
相关配置,配置用户密码为huawei
R4: [R4]user-interface vty 0 4 [R4-ui-vty0-4]authentication-mode password [R4-ui-vty0-4]set authentication password simple huawei
-
现要求
R1
的环回接口只能通过R4
上的40.40.40.40
进行Telnet
访问,但不能通过4.4.4.4
访问。如果要
R1
只能通过访问R4
的Loopback 1
地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL
是无法实现的,因为ACL
只能通过匹配源地址实现过滤,所以需要用到高级ACL
。R4: [R4]acl 3000 //允许源地址为1.1.1.1 目的地址为4.4.4.4的数据包通过 [R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 40.40.40.40 0 [R4-acl-adv-3000]q [R4]user-interface vty 0 4 [R4-ui-vty0-4]acl 3000 inbound //在远程连接服务数据流入时此规则生效
设置了允许通过的规则后,其余没被设置的区域都被禁止通过,即此刻只有
R1
可以通过R4
的40.40.40.40
远程连接到R4
。此外高级
ACL
还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大。
本实验取自华为公司《HCNA网络技术实验指南》,此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好,强烈推荐!!!