Module4網絡安全技術《網絡互聯技術》任務4.4

高級ACL配置高級ACL高級ACL配置命令基本ACL只能基于源IP地址進行規則的定義，通過基本ACL抓取的流量范圍過大或不夠具體，使其在流量過濾的應用中存在諸多局限，基本ACL通常不單獨部署應用，而是結合其它技術如NAT、登錄認證等使用。高級ACL可以對流量進行精準定義，是網絡中進行流量控制的首選。本次任務主要介紹高級ACL配置方法。任務背景準備知識1.高級ACL高級ACL可根據源IP地址、目的IP地址、IP協議類型、TCP源/目的端口、UDP源/目的端口號、分片信息和生效時間段等信息來定義規則，對IPv4報文進行過濾。高級ACL比基本ACL提供了更準確、豐富、靈活的規則定義方法。常見的規則定義類型：源/目的IP地址：抓取從某個源IP地址/地址段到某個目的IP地址/地址段的報文流量，流量的抓取基于IP數據包，不考慮流量的具體業務類型，因此抓取的流量相對寬泛。TCP/UDP端口號：當協議類型指定為TCP或UDP時，可以基于TCP/UDP的源/目的端口號定義規則。以便更加具體地針對服務應用來抓取的流量。在端口號的指定上有以下4種方式：eqport：等于源/目的端口；gtport：大于源/目的端口；ltport：小于源/目的端口；rangeport-startport-end：指定源/目的端口的范圍。port-start是端口范圍的起始，port-end是端口范圍的結束。IP承載的協議類型：基于IP報文承載的協議類型進行過濾。常用的協議類型包括：ICMP（協議號1）、TCP（協議號6）、UDP（協議號17）、GRE（協議號47）、IGMP（協議號2）、OSPF（協議號89）等。（1）配置高級ACL規則（ICMP|IP）命令：rule[rule-id]{deny|permit}{icmp

|

ip}[source{source-addresssource-wildcard

|any}|destination{destination-addressdestination-wildcard|any}

]視圖：ACL視圖舉例：路由器R1配置ACL

3000，不允許/24網段主機ping/24網段主機，允許其它所有流量通過。2.高級ACL配置命令[R1]acl3000[R1-acl-adv-3000]rule5denyicmpsource55destination55[R1-acl-adv-3000]rule10permitipsourceanydestinationany（2）配置高級ACL規則（TCP|UDP）命令：rule[rule-id]{deny|permit}{tcp

|

udp}[source{source-addresssource-wildcard

|any}|source-porteqport|destination{destination-addressdestination-wildcard

|any}|destination-porteqport]說明：若不指定ACL編號，系統會指定一個可用的最大的高級ACL編號；視圖：ACL視圖舉例：路由器R1配置ACL3000，拒絕任意源地址訪問任意目的地址www服務。2.高級ACL配置命令[R1]acl3000[R1-acl-adv-3000]ruledenytcpsourceanydestinationanydestination-porteq803.任務實施：高級ACL配置（1）掌握高級ACL的工作原理；（2）掌握高級ACL的配置方法。（一）任務目的

某公司網絡部署了FTP和WWW服務器，為了保證服務器的安全訪問，除IT部外，對其他部門只開放必要的服務。（二）任務描述（1）拓撲圖（2）操作流程PC及服務器配置網絡參數；交換機S1配置VLAN及VLANIF，規劃如下：R1、S1配置靜態路由，實現全網連通；R1配置高級ACL，滿足VLAN20主機只能訪問FTP服務器的20端口、21端口及WWW服務器的80端口；VLAN10主機對FTP和WWW服務器訪問沒有限制。（三）實施規劃VLANVLANIF_IP地址Vlan1054Vlan20543.任務實施：高級ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[S1]vlanbatch1020[S1]intg1/0/1[S1-GE1/0/1]portlink-typeaccess[S1-GE1/0/1]portdefaultvlan10[S1-GE1/0/1]undoshutdown[S1-GE1/0/1]intg1/0/2[S1-GE1/0/2]portlink-typeaccess[S1-GE1/0/2]portdefaultvlan20[S1-GE1/0/2]undoshutdown[S1-GE1/0/2]intvlanif10[S1-Vlanif10]ipadd5424[S1-Vlanif10]intvlanif20[S1-Vlanif20]ipadd5424[S1-Vlanif20]intg1/0/0[S1-GE1/0/0]undoportswitch[S1-GE1/0/0]undoshutdown[S1-GE1/0/0]ipadd24S1配置VLAN及VLANIF：

配置靜態路由R1配置高級ACL3.任務實施：高級ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd24[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quit[R1]iproute-static[R1]iproute-staticR1配置網絡參數及靜態路由：配置靜態路由R1配置高級ACL[S1]iproute-staticS1配置靜態路由：此時，各部門主機對服務器訪問沒有限制。3.任務實施：高級ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[R1]acl3000[R1-acl-adv-3000]rulepermitipsource55destinationany[R1-acl-adv-3000]rulepermittcpsource55destination10destination-porteqftp-data

//允許/24訪問1的20端口[R1-acl-adv-3000]rulepermittcpsource55destination10destination-porteqftp//允許/24訪問1的21端口[R1-acl-adv-3000]rulepermittcpsource55destination00destination-porteqwww//允許/24訪問0的80端口[R1-acl-adv-3000]ruledenyipsource55destination10

//拒絕/24對1的其它訪問[R1-acl-adv-3000]ruledenyipsource55destination00

//拒絕/24對0的其它訪問[R1-acl-adv-3000]intg0/0/0[R1-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//R1的G0/0/0入方向應用R1配置高級ACL：配置靜態路由R1配置高級ACL3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息[R1]disacl3000AdvancedACL3000,6rulesAcl'sstepis5rule5permitipsource55rule10permittcpsource55destination10destination-porteqftprule15permittcpsource55destination10destination-porteqftp-datarule20permittcpsource55destination00destination-porteqwwwrule25denyipsource55destination10rule30denyipsource55destination00R1查看ACL配置信息

訪問測試3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC1pingFTPPC1pingWWW3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC1訪問FTP3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC1訪問WWW3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC2pingFTPPC2pingWWW3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC2訪問FTP3.任務實施：高級ACL配置（五）實驗測試查看ACL配置信息訪問測試PC1訪問WWW3.任務實