任务4.4 高级ACL配置

Module4网络安全技术《网络互联技术》任务4.4

高级ACL配置高级ACL高级ACL配置命令基本ACL只能基于源IP地址进行规则的定义，通过基本ACL抓取的流量范围过大或不够具体，使其在流量过滤的应用中存在诸多局限，基本ACL通常不单独部署应用，而是结合其它技术如NAT、登录认证等使用。高级ACL可以对流量进行精准定义，是网络中进行流量控制的首选。本次任务主要介绍高级ACL配置方法。任务背景准备知识1.高级ACL高级ACL可根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。常见的规则定义类型：源/目的IP地址：抓取从某个源IP地址/地址段到某个目的IP地址/地址段的报文流量，流量的抓取基于IP数据包，不考虑流量的具体业务类型，因此抓取的流量相对宽泛。TCP/UDP端口号：当协议类型指定为TCP或UDP时，可以基于TCP/UDP的源/目的端口号定义规则。以便更加具体地针对服务应用来抓取的流量。在端口号的指定上有以下4种方式：eqport：等于源/目的端口；gtport：大于源/目的端口；ltport：小于源/目的端口；rangeport-startport-end：指定源/目的端口的范围。port-start是端口范围的起始，port-end是端口范围的结束。IP承载的协议类型：基于IP报文承载的协议类型进行过滤。常用的协议类型包括：ICMP（协议号1）、TCP（协议号6）、UDP（协议号17）、GRE（协议号47）、IGMP（协议号2）、OSPF（协议号89）等。（1）配置高级ACL规则（ICMP|IP）命令：rule[rule-id]{deny|permit}{icmp

|

ip}[source{source-addresssource-wildcard

|any}|destination{destination-addressdestination-wildcard|any}

]视图：ACL视图举例：路由器R1配置ACL

3000，不允许/24网段主机ping/24网段主机，允许其它所有流量通过。2.高级ACL配置命令[R1]acl3000[R1-acl-adv-3000]rule5denyicmpsource55destination55[R1-acl-adv-3000]rule10permitipsourceanydestinationany（2）配置高级ACL规则（TCP|UDP）命令：rule[rule-id]{deny|permit}{tcp

|

udp}[source{source-addresssource-wildcard

|any}|source-porteqport|destination{destination-addressdestination-wildcard

|any}|destination-porteqport]说明：若不指定ACL编号，系统会指定一个可用的最大的高级ACL编号；视图：ACL视图举例：路由器R1配置ACL3000，拒绝任意源地址访问任意目的地址www服务。2.高级ACL配置命令[R1]acl3000[R1-acl-adv-3000]ruledenytcpsourceanydestinationanydestination-porteq803.任务实施：高级ACL配置（1）掌握高级ACL的工作原理；（2）掌握高级ACL的配置方法。（一）任务目的

某公司网络部署了FTP和WWW服务器，为了保证服务器的安全访问，除IT部外，对其他部门只开放必要的服务。（二）任务描述（1）拓扑图（2）操作流程PC及服务器配置网络参数；交换机S1配置VLAN及VLANIF，规划如下：R1、S1配置静态路由，实现全网连通；R1配置高级ACL，满足VLAN20主机只能访问FTP服务器的20端口、21端口及WWW服务器的80端口；VLAN10主机对FTP和WWW服务器访问没有限制。（三）实施规划VLANVLANIF_IP地址Vlan1054Vlan20543.任务实施：高级ACL配置（四）操作步骤S1配置VLAN及VLANIF终端配置网络参数[S1]vlanbatch1020[S1]intg1/0/1[S1-GE1/0/1]portlink-typeaccess[S1-GE1/0/1]portdefaultvlan10[S1-GE1/0/1]undoshutdown[S1-GE1/0/1]intg1/0/2[S1-GE1/0/2]portlink-typeaccess[S1-GE1/0/2]portdefaultvlan20[S1-GE1/0/2]undoshutdown[S1-GE1/0/2]intvlanif10[S1-Vlanif10]ipadd5424[S1-Vlanif10]intvlanif20[S1-Vlanif20]ipadd5424[S1-Vlanif20]intg1/0/0[S1-GE1/0/0]undoportswitch[S1-GE1/0/0]undoshutdown[S1-GE1/0/0]ipadd24S1配置VLAN及VLANIF：

配置静态路由R1配置高级ACL3.任务实施：高级ACL配置（四）操作步骤S1配置VLAN及VLANIF终端配置网络参数[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd24[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quit[R1]iproute-static[R1]iproute-staticR1配置网络参数及静态路由：配置静态路由R1配置高级ACL[S1]iproute-staticS1配置静态路由：此时，各部门主机对服务器访问没有限制。3.任务实施：高级ACL配置（四）操作步骤S1配置VLAN及VLANIF终端配置网络参数[R1]acl3000[R1-acl-adv-3000]rulepermitipsource55destinationany[R1-acl-adv-3000]rulepermittcpsource55destination10destination-porteqftp-data

//允许/24访问1的20端口[R1-acl-adv-3000]rulepermittcpsource55destination10destination-porteqftp//允许/24访问1的21端口[R1-acl-adv-3000]rulepermittcpsource55destination00destination-porteqwww//允许/24访问0的80端口[R1-acl-adv-3000]ruledenyipsource55destination10

//拒绝/24对1的其它访问[R1-acl-adv-3000]ruledenyipsource55destination00

//拒绝/24对0的其它访问[R1-acl-adv-3000]intg0/0/0[R1-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//R1的G0/0/0入方向应用R1配置高级ACL：配置静态路由R1配置高级ACL3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息[R1]disacl3000AdvancedACL3000,6rulesAcl'sstepis5rule5permitipsource55rule10permittcpsource55destination10destination-porteqftprule15permittcpsource55destination10destination-porteqftp-datarule20permittcpsource55destination00destination-porteqwwwrule25denyipsource55destination10rule30denyipsource55destination00R1查看ACL配置信息

访问测试3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC1pingFTPPC1pingWWW3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC1访问FTP3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC1访问WWW3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC2pingFTPPC2pingWWW3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC2访问FTP3.任务实施：高级ACL配置（五）实验测试查看ACL配置信息访问测试PC1访问WWW3.任务实