温馨提示:欢迎对技术感兴趣的新手朋友们,希望这些知识点能对大家有帮助。如果有什么不解或疑惑或建议,可留言小编或邮件2355331040@qq.com,我将尽快给予解决。感谢大家的支持和关注,谢谢!!!
学习目标
· 掌握高级ACL的配置方法
· 掌握ACL在接口下的应用方法
拓扑图
图7.1 配置ACL过滤企业数据实验拓扑图
场景
企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。
操作步骤
步骤一 实验环境准备
为了保证实验结果的准确性,确保设备以空配置启动。
配置R1
<Huawei>system-view
[Huawei]sysname R1
配置R2
<Huawei>system-view
[Huawei]sysname R2
配置R3
<Huawei>system-view
[Huawei]sysname R3
配置R4
<Huawei>system-view
[Huawei]sysname R4.telnet.server
配置R5
<Huawei>system-view
[Huawei]sysname R5.ftp.server
步骤二 配置IP地址
按照拓扑图中所示网络的地址进行IP编址的配置。
配置R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.12.1 24
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 10.1.13.1 24
[R1-GigabitEthernet0/0/2]undo shutdown
[R1-GigabitEthernet0/0/2]quit
[R1]
配置R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.1.12.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface LoopBack 0
[R2-LoopBack0]ip address 172.16.1.254 24
[R2-LoopBack0]quit
[R2]
配置R3
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 10.1.13.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface LoopBack 0
[R3-LoopBack0]ip address 192.168.1.254 24
[R3-LoopBack0]quit
[R3]
配置R4
[R4.telnet.server]interface GigabitEthernet 0/0/1
[R4.telnet.server-GigabitEthernet0/0/1]ip address 10.1.1.100 24
[R4.telnet.server-GigabitEthernet0/0/1]quit
[R4.telnet.server]
配置R5
[R5.ftp.server]interface GigabitEthernet 0/0/1
[R5.ftp.server-GigabitEthernet0/0/1]ip address 10.1.1.200 24
[R5.ftp.server-GigabitEthernet0/0/1]quit
[R5.ftp.server]
步骤三 配置R4作为Telnet服务器
[R4.telnet.server]telnet server enable
[R4.telnet.server]user-interface vty 0 4
[R4.telnet.server-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei123
[R4.telnet.server-ui-vty0-4]user privilege level 15
[R4.telnet.server-ui-vty0-4]protocol inbound all
[R4.telnet.server-ui-vty0-4]quit
[R4.telnet.server]
步骤四 配置R5作为FTP服务器
[R5.ftp.server]ftp server enable
[R5.ftp.server]aaa
[R5.ftp.server-aaa]local-user huawei password cipher huawei123
[R5.ftp.server-aaa]local-user huawei service-type ftp
[R5.ftp.server-aaa]local-user huawei privilege level 15
[R5.ftp.server-aaa]local-user huawei ftp-directory flash:
[R5.ftp.server-aaa]quit
[R5.ftp.server]
步骤五 配置OSPF使网络互通
在R1、R2和R3上配置OSPF,三台设备均在区域0中,并发布各自的直连网段信息,让整个网络可以互连互通。
配置R1
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
配置R2
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
配置R3
[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
在R4和R5上配置缺省静态路由,指定下一跳为各自连接的路由器网关。
[R4]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
[R5]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
检测网络的连通性。
[R2]ping -a 172.16.1.254 10.1.1.100
PING 10.1.1.100: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.100: bytes=56 Sequence=1 ttl=254 time=140 ms
Reply from 10.1.1.100: bytes=56 Sequence=2 ttl=254 time=40 ms
Reply from 10.1.1.100: bytes=56 Sequence=3 ttl=254 time=50 ms
Reply from 10.1.1.100: bytes=56 Sequence=4 ttl=254 time=60 ms
Reply from 10.1.1.100: bytes=56 Sequence=5 ttl=254 time=40 ms
[R3]ping -a 192.168.1.254 10.1.1.200
PING 10.1.1.200: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.200: bytes=56 Sequence=1 ttl=254 time=50 ms
Reply from 10.1.1.200: bytes=56 Sequence=2 ttl=254 time=80 ms
Reply from 10.1.1.200: bytes=56 Sequence=3 ttl=254 time=40 ms
Reply from 10.1.1.200: bytes=56 Sequence=4 ttl=254 time=60 ms
Reply from 10.1.1.200: bytes=56 Sequence=5 ttl=254 time=40 ms
到步骤五为止,R2、R3以loopback0接口地址为源都应该可以访问R4的telnet和R5的FTP服务。
在R2上测试telnet
telnet –a 172.16.1.254 10.1.1.100
在R2上测试ftp
ftp –a 172.16.1.254 10.1.1.200
在R3上测试telnet
telnet –a 192.168.1.254 10.1.1.100
在R3上测试ftp
ftp –a 192.168.1.254 10.1.1.200
步骤六 配置ACL过滤报文
在R1上配置ACL,只允许R2以172.16.1.254为源访问Telnet服务器,只允许R3以192.168.1.254为源访问FTP服务器。
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp source 172.16.1.254 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 23
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.254 0.0.0.0 destination 10.1.1.200 0.0.0.0 destination-port range 20 21
[R1-acl-adv-3000]rule 15 permit ospf
[R1-acl-adv-3000]rule 20 deny ip source any
[R1-acl-adv-3000]quit
在R1的G0/0/0接口outbound应用ACL。
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
验证ACL的应用结果。
在R2上测试telnet
<R2>telnet -a 172.16.1.254 10.1.1.100 <正常访问>
Press CTRL_] to quit telnet mode
Trying 10.1.1.100 ...
Connected to 10.1.1.100 ...
Login authentication
Password: 输入密码huawei123
<R4.telnet.server>
在R2上测试ftp
<R2>ftp -a 172.16.1.254 10.1.1.200 <无法访问>
在R3上测试telnet
<R3>telnet -a 192.168.1.254 10.1.1.100 <无法访问>
<R3>ftp -a 192.168.1.254 10.1.1.200 <正常访问>
<R3>ftp -a 192.168.1.254 10.1.1.200
Trying 10.1.1.200 ...
Press CTRL+K to abort
Connected to 10.1.1.200.
220 FTP service ready.
User(10.1.1.200:(none)):huawei 输入用户huawei
331 Password required for huawei.
Enter password: 输入密码huawei123
230 User logged in.
[R3-ftp] 已正常登录进来
[R3-ftp]bye
221 Server closing.
<R3>
注意:可以执行bye命令,关闭FTP连接。
附加练习:分析并验证
为什么FTP要求ACL定义两个端口?
应在源端网络还是目标网络配置基本和高级ACL,为什么?
配置文件
<R1>display current-configuration
原文来自:微思网络
原文地址:https://mp.weixin.qq.com/s/BC...
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。