配置高级访问控制列表ACL【eNSP实现】

基本的ACL只能用于匹配源IP地址，而在实际应用当中往往需要针对数据包的其他参数进行匹配，比如目的地址、协议号、端口号等，所以基本的ACL由于匹配的局限性而无法实现更多的功能，所以就需要使用高级的访问控制表。

高级的访问控制表在匹配项做了扩展，编号范围为3000~3999，既可使用报文的源IP地址，也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口号等信息来定义规则。

高级访问控制类别可以定义比基本访问控制列表更准确、更丰富、更灵活的规则，也因此得到更加广泛的应用。

实验目的

• 理解高级访问控制列表的应用场景
• 掌握配置高级访问控制列表的方法
• 理解高级访问控制列表与基本访问控制列表的区别

实验拓扑

实验步骤

1. 根据如图所示进行配置，各接口主机号若为特别说明则与其编号一致

   R1:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R1
   [R1]int g0/0/0
   [R1-GigabitEthernet0/0/0]ip address 10.0.13.1 24
   [R1-GigabitEthernet0/0/0]int loopback 0
   [R1-LoopBack0]ip address 1.1.1.1 32
   
   R2:
   <Huawei>sys	
   [Huawei]undo info-center en
   [Huawei]sysname R2
   [R2]int g0/0/0
   [R2-GigabitEthernet0/0/0]ip address 10.0.23.2 24
   [R2-GigabitEthernet0/0/0]int loopback 0
   [R2-LoopBack0]ip address 2.2.2.2 32
   
   R3:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R3
   [R3]int g0/0/0
   [R3-GigabitEthernet0/0/0]ip address 10.0.13.3 24
   [R3-GigabitEthernet0/0/0]int g0/0/1
   [R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24
   [R3-GigabitEthernet0/0/1]int g0/0/2
   [R3-GigabitEthernet0/0/2]ip address 10.0.34.3 24
   [R3-GigabitEthernet0/0/2]int loopback 0
   [R3-LoopBack0]ip address 3.3.3.3 32
   
   R4:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R4
   [R4]int g0/0/0
   [R4-GigabitEthernet0/0/0]ip address 10.0.34.4 24
   [R4-GigabitEthernet0/0/0]int loopback 0
   [R4-LoopBack0]ip address 4.4.4.4 32
   [R4-LoopBack0]int loopback 1
   [R4-LoopBack1]ip address 40.40.40.40 32
   

2. 在各设备上搭建OSPF网络，确保全网互通

   R1:
   [R1]ospf
   [R1-ospf-1]area 0
   [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
   [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
   
   R2:
   [R2]ospf
   [R2-ospf-1]area 0
   [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
   [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
   
   R3:
   [R3]ospf
   [R3-ospf-1]area 0
   [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
       
   R4:
   [R4]ospf
   [R4-ospf-1]area 0
   [R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
   [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
   [R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0
   

   可通过查看R1上的OSPF路由条目验证是否全网互通，此处省略。

3. 在R4上配置Telnet相关配置，配置用户密码为huawei

   R4:
   [R4]user-interface vty 0 4
   [R4-ui-vty0-4]authentication-mode password 	
   [R4-ui-vty0-4]set authentication password simple huawei
   

   

4. 现要求R1的环回接口只能通过R4上的40.40.40.40进行Telnet访问，但不能通过4.4.4.4访问。

   如果要R1只能通过访问R4的Loopback 1地址登录设备，即同时匹配数据包的源地址和目的地址实现过滤，此时通过标准ACL是无法实现的，因为ACL只能通过匹配源地址实现过滤，所以需要用到高级ACL。

   R4:
   [R4]acl 3000
   //允许源地址为1.1.1.1 目的地址为4.4.4.4的数据包通过
   [R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 40.40.40.40 0
   [R4-acl-adv-3000]q
   [R4]user-interface vty 0 4
   [R4-ui-vty0-4]acl 3000 inbound //在远程连接服务数据流入时此规则生效
   

   

   

   设置了允许通过的规则后，其余没被设置的区域都被禁止通过，即此刻只有R1可以通过R4的40.40.40.40远程连接到R4。

   此外高级ACL还可以实现对源、目的端口，协议号等信息的匹配，功能非常强大。

本实验取自华为公司《HCNA网络技术实验指南》，此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好，强烈推荐！！！