HCIA路由交换技术实战（微课版） 课件 项目14高级ACL

项目14高级ACL高级ACL的命令格式高级ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL的功能只是高级ACL的功能的一个子集，高级ACL可以比基本ACL定义出更精准、更复杂、更灵活的规则。下面是针对所有IP报文的一种简化了的配置命令格式。rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]高级ACL的配置1、案例

高级ACL的配置（1）案例背景与要求：本配置示例的网络结构与基本ACL的网络结构基本一样，所不同的是，我们要求外来人员无法接收到来自财务部办公区的IP报文B。在这种情况下，我们可以在路由器R1上配置高级ACL。高级ACL可以根据目的IP地址信息识别去往目的地为外来人员办公区的IP报文，然后在GE0/0/3接口的入方向（Inbound方向）上拒绝放行这样的IP报文。高级ACL的配置高级ACL的配置示意图如下。PC2GE0/0/3外来人员办公区/24财务部办公区/24R1项目部办公区/24PC1PC3GE0/0/2GE0/0/1报文B高级ACL：在G0/0/3接口的入方向拒绝放行去往目的IP地址为的报文B目的IP地址为IP:/24IP:/24IP:/24高级ACL的配置（2）案例配置过程①置路由器R1。首先，我们在路由器R1的系统视图下创建一个编号为3000的ACL。[R1]acl3000[R1-acl-adv-3000]高级ACL的配置（2）案例配置过程②然后，在ACL3000的视图下创建如下的规则。[R1-acl-adv-3000]ruledenyipdestination[R1-acl-adv-3000]高级ACL的配置（2）案例配置过程③最后，使用报文过滤技术中的traffic-filter命令将ACL3000应用在路由器R1的GE0/0/3接口的入方向上。[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000[R1-GigabitEthernet0/0/3]高级ACL配置示例2、案例

高级ACL配置示例（1）案例背景与要求：如图所示网络拓扑，在路由器R1和R2上配置OSPF协议实现网络通信。在路由器R2上配置高级ACL，要求如下：①允许主机PC1访问路由器R2的TELNET服务。②允许主机PC2访问路由器R2的的FTP服务。/24/24/24GE0/0/2GE0/0/0GE0/0/1GE0/0/0R1PC1IP：/24/24GE0/0/1Server1IP：53/24R2PC2IP：/24路由器各接口IP均为X.254/24高级ACL配置示例（2）案例配置思路①配置路由器R1和R2的接口IP、OSPF协议等，实现全网通信。②在路由器R2上创建高级ACL服务。③在路由器R2的GE0/0/0接口的入方向和VTY（VirtualTypeTerminal）上应用所配置的高级ACL服务。高级ACL配置示例（3）案例配置过程①配置路由器R2的高级ACL<R2>system-view[R2]acl3000[R2-acl-adv-3000]rule5permittcpsourcedestinationdestination-porteq23[R2-acl-adv-3000]rule10permittcpsourcedestination53destination-portrange2021[R2-acl-adv-3000]rule15denyip高级ACL配置示例（3）案例配置过程②在路由器R2的GE0/0/0接口应用ACL3000[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000高级ACL配置示例（3）案例配置过程③在路由器R2的VTY上应用ACL3000<R2>system-view[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound高级ACL配置示例（4）案例验证①在路由器上使用displayacl3000命令来查看ACL3000的配置信息。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip高级ACL配置示例（4）案例验证②我们在主机PC1上使用Telnet方式登录路由器，发现可以正常登录。<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:00高级ACL配置示例（4）案例验证③我们在主机PC2上登录Server1的FTP，发现可以正常登录。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin