網絡設備安裝與調試技術 課件 第9章-網絡間的訪問控制( 華三版-04完整版)

第9章

網絡間的訪問控制編著：

秦燊勞翠金

之前已經實現了公司總部與分部間、公司各部門間的互聯互訪，但考慮到網絡安全的需求，各子網間的互訪需要進行一些控制，如禁止公司分部訪問總部的財務部門、禁止公司總部的市場部門訪問分部、只允許網絡管理人員遠程訪問和管理網絡設備等。這些子網間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實現。ACL是應用在路由器接口的指令規(guī)則列表，這些列表可根據數據包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數據包還是攔截這些數據包，達到對子網間訪問控制的目的。9.1標準和基礎ACL1.標準ACL也叫基本ACL，它只根據報文的源IP地址來允許或拒絕數據包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應用才會生效。在接口應用ACL時，要指明是應用在路由器的入方向還是出方向上。對于進入路由器的數據包，路由器會先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數據包則先查詢路由表，明確出接口后才查看出方向的ACL?？梢姲袮CL應用到入站接口比應用到出站接口效率更高。3.應用ACL時，還要考慮應用到哪臺路由器上更好。由于標準ACL只能根據源地址過濾數據包，為了避免過早拒絕導致拒絕范圍被擴大，標準ACL應該應用到離目的地最近的路由器上。4.ACL被應用在路由器接口的入或出方向后，方向一致的數據包流經接口時，就會被從ACL的第一個表項開始、自上而下的進行檢查，一旦當前被檢查的數據包匹配某一表項的條件，就停止對后續(xù)表項的檢查，并執(zhí)行當前表項的動作。動作有兩個，一個是允許通過permit，另一個的拒絕通過deny。9.1.1思科設備配置標準ACL

思科設備規(guī)定了一條默認表項，會自動添加到所有ACL表項的后面，內容是拒絕所有數據包通過，即denyany，若當前數據包與之前的ACL表項都不匹配，就會被拒絕通過。思科設備的標準ACL編號是1~99。

在PacketTracer中搭建如圖9-1所示拓撲，通過配置標準ACL實現只允許PC0訪問路由器R1、R2、R3的Telnet服務；拒絕PC1所在網段訪問Server0（0）。圖9-1思科設備配置標準ACL的拓撲

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress52R1(config-if)#noshutdownR2(config)#interfaceSerial0/0/0//R2的配置R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceserial0/0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR3(config)#interfaceserial0/0/0//R3的配置R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacegigabitEthernet0/0R3(config-if)#ipaddressR3(config-if)#noshutdown

2.配置單區(qū)域OSPF使全網互通，命令如下：R1(config)#routerospf1//R1的配置R1(config-router)#router-idR1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#routerospf1//R2的配置R2(config-router)#router-idR2(config-router)#networkarea0R2(config-router)#networkarea0R3(config)#routerospf1//R3的配置R3(config-router)#router-idR3(config-router)#networkarea0R3(config-router)#network55area03.查看R1、R2、R3的OSPF路由表，命令如下：R1#showiprouteospf//查看R1的OSPF路由表R2#showiprouteospf//查看R2的OSPF路由表R3#showiprouteospf//查看R3的OSPF路由表4.為R1、R2、R3開啟telnet服務，允許管理員通過密碼“123”對這些設備進行telnet遠程管理。通過ACL實現只允許PC0訪問路由器R1、R2、R3的Telnet服務；拒絕PC1所在網段訪問Server0（0）。命令如下：R1(config)#access-list1permithost0//為R1定義ACL1的第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R1(config)#linevty04//進入0~4這五個遠程虛擬終端的配置界面R1(config-line)#access-class1in//將ACL1應用在遠程連接的入方向，此處access-class命令只對標準ACL有效R1(config-line)#password123//遠程連接驗證時的密碼R1(config-line)#login//遠程連接時需要密碼驗證R2(config)#access-list1permithost0//為R2定義ACL1第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R2(config)#linevty04R2(config-line)#access-class1in//將ACL1應用在遠程連接的入方向R2(config-line)#password123R2(config-line)#loginR3(config)#access-list1permithost0//為R3定義ACL1的第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R3(config)#access-list2deny55//ACL2第一個表項拒絕PC1所在網段R3(config)#access-list2permitany//ACL2第二個表項允許所有網段通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第三個表項，由于第二個表項已經允許所有，所有第三個表項將不會被用到R3(config)#linevty04R3(config-line)#access-class1in//將ACL1應用在遠程連接的入方向R3(config-line)#password123R3(config-line)#loginR3(config-line)#exitR3(config)#interfaceserial0/0/0R3(config-if)#ipaccess-group2in//將ACL2應用在當前接口的入方向

5.測試方法如下：（1）在PC0上進行連接R1的telnet測試，命令如下：C:\>ipconfig//查看PC0的IP地址C:\>telnet//遠程連接R1Password://輸入密碼123R1>exit//成功連接到R1，輸入命令返回

（2）在PC0上進行連接R2的telnet測試，命令如下：C:\>telnet//遠程連接R2Password://輸入密碼123R2>exit//成功連接到R2，輸入命令返回（3）在PC0上進行連接R3的telnet測試，命令如下：C:\>telnet//遠程連接R3Password://輸入密碼123R3>exit//成功連接到R3，輸入命令返回（4）在PC0上ping服務器Server0，測試它們之間的連通性，命令如下：C:\>ping0//可以ping通（5）在PC1上telnetR1，命令如下：C:\>ipconfig//查看PC1的IP地址C:\>telnet//遠程連接R1%Connectionrefusedbyremotehost//提示連接被拒絕

（6）在PC1上telnetR2C:\>telnet//遠程連接R2%Connectionrefusedbyremotehost//提示連接被拒絕（7）在PC1上telnetR3，命令如下：C:\>telnet//遠程連接R3%Connectiontimedout;remotehostnotresponding//提示超時（8）在PC1ping服務器Server0，命令如下：C:\>ping0//通過ping測試PC1與服務器Server0的連通性，ping不通

（9）在R3上查看訪問控制列表，命令如下：R3#showipaccess-listsStandardIPaccesslist110permithost0(2match(es))//ACL1表項1的匹配量StandardIPaccesslist210deny55(28match(es))

//ACL2表項1的匹配量20permitany(136match(es))//ACL2表項2的匹配量

（10）在R3上清空ACL各表項的匹配，命令如下：R3#clearaccess-listcounters//清空ACL各表項的匹配R3#showipaccess-lists//查看訪問控制列表，可以看到各表項的匹配量被清空StandardIPaccesslist110permithost0StandardIPaccesslist210deny5520permitany（11）在R3上查看接口s0/0/0的信息，命令如下：R3#showipinterfaceserial0/0/0OutgoingaccesslistisnotsetInboundaccesslistis2//表明接口的入方向上應用了ACL29.1.2華為設備配置基本ACL

一個ACL中可以包含多條規(guī)則，華為設備為流策略和Telnet分別規(guī)定了一條默認規(guī)則，默認規(guī)則會自動添加到所有規(guī)則的最后。其中，流策略的ACL默認規(guī)則是“允許所有”，Telnet的ACL默認規(guī)則是“拒絕所有”。華為設備的基本ACL編號是2000~2999。

在eNSP中搭建如圖9-2所示拓撲，配置地址，配置單區(qū)域OSPF使全網互通。為R3開啟telnet服務，允許通過密碼“123”對它進行telnet遠程管理。通過配置基本ACL，只允許PC0訪問路由器R3的Telnet服務；拒絕PC1所在網段訪問Server0（0）。

圖9-2華為設備配置基本ACL的拓撲

1.各路由器的和PC的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0/0//R1的配置[R1-GigabitEthernet0/0/0]ipaddress24[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipaddress30[R2]interfaceGigabitEthernet0/0/0//R2的配置[R2-GigabitEthernet0/0/0]ipaddress30[R2-GigabitEthernet0/0/0]quit[R2]interfaceGigabitEthernet0/0/1[R2-GigabitEthernet0/0/1]ipaddress30[R3]interfaceGigabitEthernet0/0/1//R3的配置[R3-GigabitEthernet0/0/1]ipaddress30[R3-GigabitEthernet0/0/1]quit[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]ipaddress24[PC0]interfaceGigabitEthernet0/0/0//PC0的配置，用路由器模擬[PC0-GigabitEthernet0/0/0]ipaddress024[PC0-GigabitEthernet0/0/0]quit[PC0]iproute-static0[PC1]interfaceGigabitEthernet0/0/0//PC1的配置，用路由器模擬[PC1-GigabitEthernet0/0/0]ipaddress024[PC1-GigabitEthernet0/0/0]quit[PC1]iproute-static0

2.Server0的配置如下：IP地址：0//Server0的配置子網掩碼：網關：

3.在R3上開啟telnet服務，命令如下：[R3]telnetserverenable[R3]user-interfacevty04[R3-ui-vty0-4]protocolinboundtelnet[R3-ui-vty0-4]authentication-modepasswordPleaseconfiguretheloginpassword(maximumlength16):123//直接指定密碼[R3-ui-vty0-4]setauthenticationpasswordcipher123

//還可以通過命令設置密碼[R3-ui-vty0-4]userprivilegelevel15

4.配置單區(qū)域OSPF使全網互通，命令如下：[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network55

5.查看各路由器的OSPF路由表，命令如下：[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置和測試如下：

（1）ACL配置的配置如下：[R3]acl2000[R3-acl-basic-2000]rulepermitsource00//為R3定義ACL2000的第一條規(guī)則，允許0（即PC0）通過，Telnet的ACL默認規(guī)則動作“拒絕所有”將自動添加在最后，成為ACL2000的第二條規(guī)則[R3-acl-basic-2000]quit[R3]user-interfacevty04//進入0~4這五個遠程虛擬終端的配置界面[R3-ui-vty0-4]acl2000inbound//將ACL2000應用在遠程連接的入方向[R3-ui-vty0-4]quit（2）PC0遠程連接R3測試，命令如下：<PC0>telnet//PC0遠程連接R3LoginauthenticationPassword://輸入密碼123<R3>quit//成功連接到R1，輸入命令返回（3）PC1遠程連接R3測試，命令如下：<PC1>telnet//PC1遠程連接R3Error:Can'tconnecttotheremotehost//PC1無法遠程連接到R37.用于流策略的ACL配置和測試如下：（1）ACL配置命令如下：[R3]acl2001[R3-acl-basic-2001]ruledenysource55//為R3定義ACL2001的第一條規(guī)則，拒絕（即PC所在網段）通過，流策略的ACL默認規(guī)則動作“允許所有”將自動添加在最后，成為ACL2001的第二條規(guī)則[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]traffic-filteroutboundacl2001//將ACL2001應用在當前接口的出方向（2）PC0pingServer0測試，命令如下：<PC0>ping0//PC0pingServer0Replyfrom0:bytes=56Sequence=5ttl=252time=30ms//ping通了（3）PC1pingServer0測試，命令如下：<PC1>ping0//PC1pingServer0Requesttimeout//ping不通9.1.3華三設備配置基本ACL一個ACL中可以包含多條規(guī)則，華三設備與華為設備一樣，為流策略和Telnet分別規(guī)定了一條默認規(guī)則，默認規(guī)則會自動添加到所有規(guī)則的最后。其中，流策略的ACL默認規(guī)則是“允許所有”，Telnet的ACL默認規(guī)則是“拒絕所有”。華三設備的基本ACL編號是2000~2999。如圖9-3所示，在HCL中搭建拓撲，配置地址，配置單區(qū)域OSPF使全網互通。為R3開啟telnet服務，允許通過密碼“123@h3c”對它進行telnet遠程管理。配置基本ACL只允許PC0訪問路由器R3的Telnet服務；拒絕PC1所在網段訪問Server0（0）。圖9-3華三設備配置基本ACL的拓撲

1.PC0、PC1和Server0采用VMware的windows虛擬機連接，具體方法如下：

（1）如圖9-4所示，在桌面打開OracleVMVirtualBox管理器，選擇“全局工具”中的“主機網絡管理器”，創(chuàng)建“VirtualBoxHost-OnlyEthernetAdapter#2”和“VirtualBoxHost-OnlyEthernetAdapter#3”。圖9-4OracleVMVirtualBox管理器

（2）如圖9-5所示，打開桌面的VMwareWorkstation，參照“華三設備無密碼的遠程telnet連接”實驗中給VMWare的虛擬網卡和VirtualBox的虛擬網卡間建立聯系的方法，將VMnet1橋接到VirtualBoxHost-OnlyEthernetAdapter，將VMnet2橋接到VirtualBoxHost-OnlyEthernetAdapter#2，將VMnet3橋接到VirtualBoxHost-OnlyEthernetAdapter#3。圖9-5VMwareWorkstation虛擬網絡編輯器（3）PC0的配置如下：IP地址：0，子網掩碼：，網關：（4）PC1的配置如下：IP地址：0，子網掩碼：，網關：（5）Server0的配置如下：IP地址：0，子網掩碼：，網關：

2.路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]ipaddress30[R2]interfaceGigabitEthernet0/0//R2的配置[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]ipaddress30[R3]interfaceGigabitEthernet0/1//R3的配置[R3-GigabitEthernet0/1]ipaddress30[R3-GigabitEthernet0/1]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]ipaddress24

3.在R3上配置telnet，命令如下：[R3]telnetserverenable[R3]linevty04[R3-line-vty0-4]protocolinboundtelnet[R3-line-vty0-4]authentication-modepassword[R3-line-vty0-4]setauthenticationpasswordsimple123@h3c[R3-line-vty0-4]userlevel-15

4.各路由器上動態(tài)路由的配置，命令如下：[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network555.在各路由器上查看OSPF路由表，命令如下：[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置方法和測試過程如下：

（1）ACL的配置命令如下：[R3]aclnumber2000[R3-acl-ipv4-basic-2000]rulepermitsource00//為R3定義ACL2000的第一條規(guī)則，允許0（即PC0）通過，Telnet的ACL默認規(guī)則動作“拒絕所有”將自動添加在最后，成為ACL2000的第二條規(guī)則[R3-acl-ipv4-basic-2000]quit[R3]telnetserveracl2000//將ACL2000應用在telnet遠程連接上

（2）PC0遠程連接R3測試，命令如下：C:\DocumentsandSettings\Administrator>telnetPassword://輸入密碼123@h3c<R3>//成功連接到R3<R3>quit//輸入命令返回

（3）PC1遠程連接R3測試，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示：正在連接到...不能打開到主機的連接，在端口23:連接失敗

7.用于流策略的ACL配置方法和測試過程如下：

（1）ACL的配置命令如下：[R3]aclnumber2001[R3-acl-ipv4-basic-2001]ruledenysource55//為R3定義ACL2001的第一條規(guī)則，拒絕（即PC所在網段）通過，流策略的ACL默認規(guī)則動作“允許所有”將自動添加在最后，成為ACL2001的第二條規(guī)則[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]packet-filter2001outbound//將ACL2001應用在當前接口的出方向[R3-GigabitEthernet0/0]quit

（2）PC0pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Replyfrom0:bytes=32time=3msTTL=125//可以ping通（3）PC1pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通9.2擴展和高級ACL

擴展ACL-也稱為高級ACL，擴展ACL可根據數據包的源IP地址、目的IP地址、指定協議、源端口、目的端口和標志來允許或拒絕數據包。9.2.1思科設備配置擴展ACL

思科擴展ACL的列表號范圍是100~199。下面，我們使用擴展ACL實現以下功能：

（1）只允許PC1所在網段訪問R3的Telnet服務；

（2）拒絕PC0所在網段pingServer0（0）；

（3）拒絕PC0所在網段訪問Server0（0）的Web服務和FTP服務；

（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

在PacketTracer中搭建如圖9-6所示的拓撲。圖9-6思科設備配置擴展ACL的拓撲

1.開啟R3的telnet服務，命令如下：R3(config)#linevty04R3(config-line)#transportinputtelnetR3(config-line)#password123R3(config-line)#login

2.在R1上進行擴展ACL的配置，方法如下：

（1）定義擴展ACL，命令如下：R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第一個列表項。列表號100表示當前ACL是擴展ACL；permit表示符合條件則允許通過；tcp表示根據tcp協議的端口號來進行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網段作為源IP，且對源端口號不做限制；條件的后半部分hosteq23等價于eq23，指的是目標地址為，即R3的IP地址，且目標TCP端口號eq23，即等于23，指的是目標TCP端口號等于23，即telnet服務R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第二個列表項，此處目標地址是R3另一個接口的地址R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第三個列表項，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第四個列表項，此處目標地址是R3另一個接口的地址以上4條ACL100的列表項實現了只允許PC2所在網段訪問R3的telnet服務。R1(config)#access-list100denyicmp55host0

//此命令定義了ACL100的第五個列表項，拒絕PC0所在網段（）pingServer0（0）R1(config)#access-list100denytcp55host0eq80

//此命令定義了ACL100的第六個列表項，拒絕PC0所在網段（）訪問Server0（0）的tcp80端口，即Web服務R1(config)#access-list100denytcp55host0eq21

//此命令定義了ACL100的第七個列表項，拒絕PC0所在網段（）訪問Server0（0）的tcp21端口，即FTP服務的控制通道R1(config)#access-list100denytcp55host0eq20//此命令定義了ACL100的第八個列表項，拒絕PC0所在網段（）訪問Server0（0）的tcp20端口，即FTP服務的數據通道以上3條ACL100的列表項拒絕了PC0所在網段訪問Server0（0）的Web服務和FTP服務。R1(config)#access-list100denyicmphost0host0echo//此命令定義了ACL100的第九個列表項，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。Ping成功意味著去到了目標并且成功返回，即有去有回。其中icmp協議的echo表示去的過程，即源向目標發(fā)出回顯請求；icmp協議的echoreply表示回的過程，即目標向源發(fā)回的回顯答復R1(config)#access-list100permitipanyany//此命令定義了ACL100的第十個列表項，作用是允許所有源訪問所有目標的IP協議。對于以太網來說，IP是第三層協議，承載了第四層的TCP協議和UDP協議，所以允許對IP協議的訪問意味著允許對TCP和UDP等所有四層協議的訪問。所以本列表項的作用是允許所有還有一條默認ACL條目排在最后，內容是拒絕所有。由于ACL100的上一條列表已經允許所有了，所以排在最后的默認ACL條目不會被執(zhí)行到。

（２）在接口下應用ACL，命令如下：R1(config)#interfaceserial0/0/0R1(config-if)#ipaccess-group100out//在接口下應用ACL。定義好的ACL只有被應用了才會生效

3.分別在PC1和PC0上訪問R3，比較訪問效果。命令如下：C:\>ipconfig//在PC1上，查看自身的IP地址C:\>telnet//在PC1上通過telnet遠程管理R3Password://輸入密碼123R3>exit//成功連接C:\>ipconfig//在PC0上查看自身的IP地址C:\>telnet//在PC0上通過telnet遠程管理R3Trying...%Connectiontimedout;remotehostnotresponding//無法成功連接9.2.2華為設備配置高級ACL

下面，介紹華為設備配置高級ACL的方法。如圖9-7所示，在基礎ACL實驗的基礎上，繼續(xù)使用擴展ACL實現以下功能：（1）只允許PC1所在網段訪問R3的Telnet服務；（2）拒絕PC0所在網段pingServer0（0）；（3）拒絕PC0所在網段訪問Server0（0）的Web服務和FTP服務；（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

圖9-7華為設備配置高級ACL的拓撲

1.在R3上清空原來的ACL配置，命令如下：[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]undotraffic-filteroutbound[R3-GigabitEthernet0/0/0]quit[R3]user-interfacevty04[R3-ui-vty0-4]undoaclinbound[R3-ui-vty0-4]quit[R3]undoaclall

2.在R1上配置擴展ACL，命令如下：[R1]acl3000[R1-acl-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第一條規(guī)則，permit表示符合條件則允許通過；tcp表示根據tcp協議的端口號來進行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網段作為源IP，且對源端口號不做限制；條件的后半部分“destination0destination-porteq23”指的是目標地址為，即R3的IP地址，且目標TCP端口號等于23，即telnet服務[R1-acl-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第二條規(guī)則，此處目標地址是R3另一個接口的地址[R1-acl-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第三條規(guī)則，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標。[R1-acl-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第四條規(guī)則，此處目標地址是R3另一個接口的地址

以上4條ACL100的列表項實現了只允許PC2所在網段訪問R3的telnet服務。[R1-acl-adv-3000]ruledenyicmpsource55destination00//此命令定義了ACL3000的第五條規(guī)則，拒絕PC0所在網段（）pingServer0（0）[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定義了ACL3000的第六條規(guī)則，拒絕PC0所在網段（）訪問Server0（0）的tcp80端口，即Web服務[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定義了ACL3000的第七條規(guī)則，拒絕PC0所在網段（）訪問Server0（0）的tcp21端口，即FTP服務的控制通道[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq20//此命令定義了ACL3000的第八條規(guī)則，拒絕PC0所在網段（）訪問Server0（0）的tcp20端口，即FTP服務的數據通道[R1-acl-adv-3000]ruledenyicmpsource00destination00icmp-typeecho//此命令定義了ACL100的第九個列表項，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。Ping成功意味著去到了目標并且成功返回，即有去有回。其中icmp協議的echo表示去的過程，即源向目標發(fā)出回顯請求；icmp協議的echoreply表示回的過程，即目標向源發(fā)回的回顯答復

以上3條ACL3000的列表項拒絕了PC0所在網段訪問Server0（0）的Web服務和FTP服務。

還有一條默認ACL條目排在最后，內容是允許所有源訪問所有目標的IP協議。

3.在R1的G0/0/2接口下應用ACL，命令如下：[R1]interfaceGigabitEthernet0/0/2 [R1-GigabitEthernet0/0/2]traffic-filteroutboundacl3000

4.分別在PC1和PC0上訪問R3，比較訪問效果。

（1）在PC1上通過telnet遠程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnetLoginauthenticationPassword://輸入密碼123<R3>//成功連接<R3>quit

（2）在PC0上通過telnet遠程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示：正在連接到...不能打開到主機的連接，在端口23:連接失敗

5.驗證“拒絕PC0所在網段pingServer0（0）”，方法如下：

（1）PC0pingServer0（0）測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）PC1ping測試，命令如下：C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=32msTTL=253//可以ping通

6.驗證“拒絕PC0所在網段訪問Server0（0）的Web服務和FTP服務”，方法如下：

（1）如圖9-8所示，在PC0上訪問Server0的Web服務，無法訪問。圖9-8PC0訪問Server0的Web服務

（2）如圖9-9所示，在PC1訪問Server0的Web服務，可以訪問。

（3）PC0訪問Server0的FTP服務，命令如下：C:\DocumentsandSettings\Administrator>ftp0>ftp:connect:連接超時圖9-9PC1訪問Server0的Web服務

（4）PC1訪問Server0的FTP服務，命令如下：C:\DocumentsandSettings\Administrator>ftp0Connectedto0.220FtpServerTryFtpDforfreeUser(0:(none)):admin//輸入用戶名331Passwordrequiredforadmin.Password://輸入密碼230Useradminloggedin,proceed//成功連接登陸ftp>quit//返回

7.驗證“單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1”，方法如下：

（1）PC1pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）如圖9-10所示，在Server0上執(zhí)行pingPC1的測試

可以看到，Server0能ping通PC1。圖9-10Server0pingPC1測試的界面9.2.3華三設備配置高級ACL

下面，介紹華三設備配置高級ACL的方法。在基礎ACL實驗的基礎上繼續(xù)，使用擴展ACL實現以下功能：（1）只允許PC1所在網段訪問R3的Telnet服務；（2）拒絕PC0所在網段pingServer0（0）；（3）拒絕PC0所在網段訪問Server0（0）的Web服務和FTP服務；（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

1.清空R3上原來的ACL配置，命令如下：[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]undopacket-filter2001outbound[R3-GigabitEthernet0/0]quit[R3]undotelnetserveracl[R3]undoaclallAllIPv4ACLswillbedeleted.Continue?[Y/N]:y

2.R1上的ACL配置，命令如下：[R1]aclnumber3000[R1-acl-ipv4-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第一條規(guī)則，permit表示符合條件則允許通過；tcp表示根據tcp協議的端口號來進行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網段作為源IP，且對源端口號不做限制；條件的后半部分“destination0destination-porteq23”指的是目標地址為，即R3的IP地址，且目標TCP端口號等于23，即telnet服務[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination0destination-porteq23//此命令定義了ACL3000的第二條規(guī)則，此處目標地址是R3另一個接口的地址[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第三條規(guī)則，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第四條規(guī)則，此處目標地址是R3另一個接口的地址

以上4條ACL100的列表項實現了只允許PC2所在網段訪問R3的telnet服務。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55destination00//此命令定義了ACL3000的第五條規(guī)則，拒絕PC0所在網段（）pingServer0（0）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定義了ACL3000的第六條規(guī)則，拒絕PC0所在網段（）訪問Server0（0）的tcp80端口，即Web服務[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定義了ACL3000的第七條規(guī)則，拒絕PC0所在網段（）訪問Server0（0）的tcp21端口，即FTP服務的控制通道