任務(wù)16

配置高級(jí)ACL16.1任務(wù)描述某公司為保障財(cái)務(wù)數(shù)據(jù)安全，需限制某些部門的訪問權(quán)限，防止未經(jīng)授權(quán)的訪問。任務(wù)背景利用高級(jí)ACL技術(shù)，根據(jù)報(bào)文多種屬性匹配，精準(zhǔn)管控內(nèi)、外部網(wǎng)絡(luò)與財(cái)務(wù)系統(tǒng)服務(wù)器之間的互訪。技術(shù)手段確保財(cái)務(wù)數(shù)據(jù)安全，僅允許特定IP地址的設(shè)備訪問網(wǎng)絡(luò)資源。任務(wù)目的16.2任務(wù)目標(biāo)知識(shí)目標(biāo)理解高級(jí)ACL的基本概念；掌握基本ACL和高級(jí)ACL的區(qū)別。素質(zhì)目標(biāo)勇于承擔(dān)責(zé)任，積極履行義務(wù)，為團(tuán)隊(duì)和社會(huì)作出貢獻(xiàn)。能力目標(biāo)能夠區(qū)分基本ACL和高級(jí)ACL；能夠配置高級(jí)ACL。創(chuàng)新目標(biāo)運(yùn)用豐富多樣的信息來(lái)定義高級(jí)ACL，實(shí)現(xiàn)復(fù)雜訪問控制要求。16.3知識(shí)準(zhǔn)備16.3.1高級(jí)ACL概述基本ACL主要依據(jù)報(bào)文的源IP地址進(jìn)行匹配，在實(shí)際應(yīng)用中，往往需要針對(duì)數(shù)據(jù)包的其他參數(shù)進(jìn)行匹配，如目的IP地址、端口號(hào)等，基本ACL由于匹配條件的局限性而無(wú)法實(shí)現(xiàn)更多功能?；続CL的局限性為了彌補(bǔ)基本ACL的不足，在基本ACL技術(shù)的基礎(chǔ)上，誕生了高級(jí)ACL技術(shù)，它可以定義更準(zhǔn)確、更復(fù)雜、更靈活的規(guī)則。高級(jí)ACL技術(shù)的誕生高級(jí)ACL的匹配元素高級(jí)ACL能夠根據(jù)IP報(bào)文中的源IP地址和目的IP地址進(jìn)行匹配，可精準(zhǔn)定位特定來(lái)源和目標(biāo)的流量。IP地址匹配對(duì)于TCP或UDP協(xié)議，高級(jí)ACL還能根據(jù)源端口號(hào)和目的端口號(hào)進(jìn)行匹配，實(shí)現(xiàn)對(duì)特定端口訪問的管控。端口號(hào)匹配可以依據(jù)協(xié)議類型進(jìn)行匹配，如識(shí)別TCP、UDP等不同協(xié)議的流量。協(xié)議類型匹配01020316.3.1高級(jí)ACL概述16.3.1高級(jí)ACL概述：高級(jí)ACL的特點(diǎn)高級(jí)ACL通過精確配置規(guī)則，限制特定IP地址、協(xié)議、端口或應(yīng)用程序的訪問，降低惡意攻擊、入侵和數(shù)據(jù)泄露的風(fēng)險(xiǎn)，如可阻止外部非法IP對(duì)內(nèi)部服務(wù)器的訪問。加強(qiáng)網(wǎng)絡(luò)安全能根據(jù)多個(gè)因素對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾和控制，只允許必需的流量通過，減少網(wǎng)絡(luò)擁塞和帶寬占用，例如限制不必要的P2P流量。提高網(wǎng)絡(luò)性能網(wǎng)絡(luò)管理員可集中和有針對(duì)性地管理、控制網(wǎng)絡(luò)流量，提高管理效率，為網(wǎng)絡(luò)架構(gòu)的擴(kuò)展和變更提供更好的靈活性和可維護(hù)性。簡(jiǎn)化網(wǎng)絡(luò)管理16.3.1高級(jí)ACL概述：高級(jí)ACL命令

高級(jí)ACL規(guī)則的配置命令格式會(huì)因IP報(bào)文的載荷數(shù)據(jù)類型的不同而不同。例如，針對(duì)IP報(bào)文、TCP報(bào)文、UDP報(bào)文等不同類型的報(bào)文格式，其相應(yīng)的配置命令格式也是不同的。(1)IP報(bào)文的簡(jiǎn)化命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcardany|any}][source{source-addresssource-wildcard|any}]

命令中各個(gè)組成項(xiàng)的解釋如下：·rule表示這是一條規(guī)則。·rule-id表示這是該規(guī)則的編號(hào)。

·permit|deny是一個(gè)二選一選項(xiàng)，表示與這條規(guī)則相關(guān)聯(lián)的處理動(dòng)作。deny命令表示拒絕，permit命令表示允許。

·ip表示IP協(xié)議。

·destination表示目的IP地址信息。

·destination-address表示具體的目的IP地址。

·destination-wildcard表示與destination-address相對(duì)應(yīng)的通配符。destinationwildcard與destination-address結(jié)合使用，可以確定一個(gè)IP地址的集合。特殊情況下，該集合中可以只包含一個(gè)IP地址。

·any表示目的或源IP地址可以是任意地址，根據(jù)與其結(jié)合的關(guān)鍵字來(lái)判斷。

·source表示源IP地址信息。

·source-address表示具體的源IP地址。

·source-wildcard表示與source-address相對(duì)應(yīng)的通配符。source-wildcard和source-address結(jié)合使用，可以確定一個(gè)IP地址的集合。特殊情況下，該集合可以只包含一個(gè)IP地址。16.3.1高級(jí)ACL概述：高級(jí)ACL命令(2)針對(duì)TCP報(bào)文、UDP報(bào)文的簡(jiǎn)化命令格式如下：Rule[rule-id]{permit|deny}{tcp|udp}[destination{destination-addressdestination-wildcardany|any}|destination-port{eqport|gtport|ltport|neqport|rangeport-startport-end}][source{source-addresssource-wildcard|any}|source-port{eqport|gtport|ltport|neqport|rangeport-startport-end}]

命令中各個(gè)組成項(xiàng)的解釋如下：

·rule表示這是一條規(guī)則。

·rule-id表示這是rule規(guī)則的編號(hào)。

·permit|deny是二選一選項(xiàng)，表示與這條規(guī)則相關(guān)聯(lián)的處理動(dòng)作。deny命令表示拒絕，permit命令表示允許。

·tcp|udp是一個(gè)二選一選項(xiàng)。tcp表示TCP協(xié)議，udp表示UDP協(xié)議。

·destination表示目的IP地址信息。

·destination-address表示具體的目的IP地址。

·destination-wildcard表示與destination-address相對(duì)應(yīng)的通配符。destination-wildcard與destination-address結(jié)合使用，可以確定一個(gè)IP地址的集合。特殊情況下，該集合中可以只包含一個(gè)IP地址。

·any表示目的或源IP地址可以是任意地址，根據(jù)與其結(jié)合的關(guān)鍵字來(lái)判斷。

·destination-port表示目的端口?！ource表示源IP地址信息。

·source-wildcard表示與source-address相對(duì)應(yīng)的通配符。source-wildcard和source_x0002_address結(jié)合使用，可以確定一個(gè)IP地址的集合。特殊情況下，該集合可以只包括一個(gè)IP地址。

·source-port表示源端口?！ourceaddress表示具體的源IP地址。

·eqport|gtport|ltport|neqport|rangeport-startport-end是一個(gè)五選一選項(xiàng)。eqport表示等于端口，gtport表示大于端口，ltport表示小于端口，neqport表示不等于端口，rangeport-startport-end表示指定端口范圍。TCP協(xié)議和UDP協(xié)議的端口可以直接使用端口號(hào)，也可以是協(xié)議對(duì)應(yīng)的關(guān)鍵字，如www、dns、telnet等。16.3.2配置高級(jí)ACL下圖所示的網(wǎng)絡(luò)拓?fù)渲?，要求外?lái)人員辦公區(qū)PC1無(wú)法接收到來(lái)自財(cái)務(wù)部辦公區(qū)PC4發(fā)出的報(bào)文，不允許財(cái)務(wù)部辦公區(qū)PC4訪問服務(wù)器的FTP服務(wù)。通過配置高級(jí)ACL，實(shí)現(xiàn)上述訪問控制要求。16.3.2配置高級(jí)ACL：配置思路應(yīng)用高級(jí)ACL創(chuàng)建高級(jí)ACL0103將創(chuàng)建好并制定規(guī)則的高級(jí)ACL應(yīng)用到路由器的指定接口的進(jìn)或出方向上，使規(guī)則生效。在路由器上創(chuàng)建特定編號(hào)的高級(jí)ACL，如在路由器R1上創(chuàng)建編號(hào)為3000的高級(jí)ACL，為后續(xù)制定規(guī)則做準(zhǔn)備。02依據(jù)訪問控制要求，制定ACL規(guī)則，例如限制特定IP地址間的通信、特定服務(wù)的訪問等，以實(shí)現(xiàn)精準(zhǔn)管控。制定ACL規(guī)則創(chuàng)建高級(jí)ACL制定ACL規(guī)則16.3.2配置高級(jí)ACL：配置過程(1)在路由器R1的系統(tǒng)視圖下創(chuàng)建一個(gè)編號(hào)為3000的ACL。<Huawei>system-view[Huawei]sysnameR1[R1]acl3000[R1-acl-adv-3000](2)在ACL3000的視圖下創(chuàng)建ACL規(guī)則。[R1-acl-adv-3000]rule5denyipdestination[R1-acl-adv-3000]rule10denytcpsourcedestinationdestination-portrange2021[R1-acl-adv-3000]rule15permitip(3)使用traffic-filter命令將ACL3000應(yīng)用在路由器的R1的接口G1/0/0的進(jìn)方向上。其具體執(zhí)行命令如下：

[R1]interfacegigabitethernet1/0/0[R1-GigabitEthernet1/0/0]traffic-filterinboundacl3000(4)以PC2為例，為計(jì)算機(jī)配置IP地址，如右圖所示。16.3.2配置高級(jí)ACL：配置驗(yàn)證(1)外來(lái)人員辦公區(qū)PC1無(wú)法接收到來(lái)自財(cái)務(wù)部辦公區(qū)PC4的報(bào)文。①財(cái)務(wù)部辦公區(qū)PC4無(wú)法Ping通外來(lái)人員辦公區(qū)PC1，如右圖所示。②在路由器R1上執(zhí)行displayacl3000命令，查看ACL3000的配置信息，命令如下：<R1>displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5denyipdestination0(5matches)rule10denytcpsource0destination0destination-portrangeftp-dataftprule15permitip

回顯信息顯示，第一條規(guī)則的匹配次數(shù)為5，說(shuō)明財(cái)務(wù)部辦公區(qū)的PC4所發(fā)出的IP報(bào)文已經(jīng)匹配上了這條規(guī)則，且該報(bào)文被丟棄。16.3.2配置高級(jí)ACL：配置驗(yàn)證(2)不允許財(cái)務(wù)部辦公區(qū)PC4訪問服務(wù)器的FTP服務(wù)。①在PC1上訪問Server1的FTP服務(wù)，能夠正常訪問，命令如下：<PC1>ftpTrying...PressCTRL+KtoabortConnectedto.220FtpServerTryFtpDforfreeUser(:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userhuaweil