HCIA路由交換技術(shù)實(shí)戰(zhàn)（微課版） 課件 項(xiàng)目14高級(jí)ACL

項(xiàng)目14高級(jí)ACL高級(jí)ACL的命令格式高級(jí)ACL可以根據(jù)IP報(bào)文的源IP地址、IP報(bào)文的目的IP地址、IP報(bào)文的協(xié)議字段的值、IP報(bào)文的優(yōu)先級(jí)的值、IP報(bào)文的長(zhǎng)度值、TCP報(bào)文的源端口號(hào)、TCP報(bào)文的目的端口號(hào)、UDP報(bào)文的源端口號(hào)、UDP報(bào)文的目的端口號(hào)等信息來(lái)定義規(guī)則?；続CL的功能只是高級(jí)ACL的功能的一個(gè)子集，高級(jí)ACL可以比基本ACL定義出更精準(zhǔn)、更復(fù)雜、更靈活的規(guī)則。下面是針對(duì)所有IP報(bào)文的一種簡(jiǎn)化了的配置命令格式。rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]高級(jí)ACL的配置1、案例

高級(jí)ACL的配置（1）案例背景與要求：本配置示例的網(wǎng)絡(luò)結(jié)構(gòu)與基本ACL的網(wǎng)絡(luò)結(jié)構(gòu)基本一樣，所不同的是，我們要求外來(lái)人員無(wú)法接收到來(lái)自財(cái)務(wù)部辦公區(qū)的IP報(bào)文B。在這種情況下，我們可以在路由器R1上配置高級(jí)ACL。高級(jí)ACL可以根據(jù)目的IP地址信息識(shí)別去往目的地為外來(lái)人員辦公區(qū)的IP報(bào)文，然后在GE0/0/3接口的入方向（Inbound方向）上拒絕放行這樣的IP報(bào)文。高級(jí)ACL的配置高級(jí)ACL的配置示意圖如下。PC2GE0/0/3外來(lái)人員辦公區(qū)/24財(cái)務(wù)部辦公區(qū)/24R1項(xiàng)目部辦公區(qū)/24PC1PC3GE0/0/2GE0/0/1報(bào)文B高級(jí)ACL：在G0/0/3接口的入方向拒絕放行去往目的IP地址為的報(bào)文B目的IP地址為IP:/24IP:/24IP:/24高級(jí)ACL的配置（2）案例配置過(guò)程①置路由器R1。首先，我們?cè)诼酚善鱎1的系統(tǒng)視圖下創(chuàng)建一個(gè)編號(hào)為3000的ACL。[R1]acl3000[R1-acl-adv-3000]高級(jí)ACL的配置（2）案例配置過(guò)程②然后，在ACL3000的視圖下創(chuàng)建如下的規(guī)則。[R1-acl-adv-3000]ruledenyipdestination[R1-acl-adv-3000]高級(jí)ACL的配置（2）案例配置過(guò)程③最后，使用報(bào)文過(guò)濾技術(shù)中的traffic-filter命令將ACL3000應(yīng)用在路由器R1的GE0/0/3接口的入方向上。[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000[R1-GigabitEthernet0/0/3]高級(jí)ACL配置示例2、案例

高級(jí)ACL配置示例（1）案例背景與要求：如圖所示網(wǎng)絡(luò)拓?fù)?，在路由器R1和R2上配置OSPF協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信。在路由器R2上配置高級(jí)ACL，要求如下：①允許主機(jī)PC1訪問(wèn)路由器R2的TELNET服務(wù)。②允許主機(jī)PC2訪問(wèn)路由器R2的的FTP服務(wù)。/24/24/24GE0/0/2GE0/0/0GE0/0/1GE0/0/0R1PC1IP：/24/24GE0/0/1Server1IP：53/24R2PC2IP：/24路由器各接口IP均為X.254/24高級(jí)ACL配置示例（2）案例配置思路①配置路由器R1和R2的接口IP、OSPF協(xié)議等，實(shí)現(xiàn)全網(wǎng)通信。②在路由器R2上創(chuàng)建高級(jí)ACL服務(wù)。③在路由器R2的GE0/0/0接口的入方向和VTY（VirtualTypeTerminal）上應(yīng)用所配置的高級(jí)ACL服務(wù)。高級(jí)ACL配置示例（3）案例配置過(guò)程①配置路由器R2的高級(jí)ACL<R2>system-view[R2]acl3000[R2-acl-adv-3000]rule5permittcpsourcedestinationdestination-porteq23[R2-acl-adv-3000]rule10permittcpsourcedestination53destination-portrange2021[R2-acl-adv-3000]rule15denyip高級(jí)ACL配置示例（3）案例配置過(guò)程②在路由器R2的GE0/0/0接口應(yīng)用ACL3000[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000高級(jí)ACL配置示例（3）案例配置過(guò)程③在路由器R2的VTY上應(yīng)用ACL3000<R2>system-view[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound高級(jí)ACL配置示例（4）案例驗(yàn)證①在路由器上使用displayacl3000命令來(lái)查看ACL3000的配置信息。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip高級(jí)ACL配置示例（4）案例驗(yàn)證②我們?cè)谥鳈C(jī)PC1上使用Telnet方式登錄路由器，發(fā)現(xiàn)可以正常登錄。<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:00高級(jí)ACL配置示例（4）案例驗(yàn)證③我們?cè)谥鳈C(jī)PC2上登錄Server1的FTP，發(fā)現(xiàn)可以正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin