HCIA路由交換技術(shù)實戰(zhàn)（微課版） 課件 項目14高級ACL

項目14高級ACL高級ACL的命令格式高級ACL可以根據(jù)IP報文的源IP地址、IP報文的目的IP地址、IP報文的協(xié)議字段的值、IP報文的優(yōu)先級的值、IP報文的長度值、TCP報文的源端口號、TCP報文的目的端口號、UDP報文的源端口號、UDP報文的目的端口號等信息來定義規(guī)則?；続CL的功能只是高級ACL的功能的一個子集，高級ACL可以比基本ACL定義出更精準(zhǔn)、更復(fù)雜、更靈活的規(guī)則。下面是針對所有IP報文的一種簡化了的配置命令格式。rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]高級ACL的配置1、案例

高級ACL的配置（1）案例背景與要求：本配置示例的網(wǎng)絡(luò)結(jié)構(gòu)與基本ACL的網(wǎng)絡(luò)結(jié)構(gòu)基本一樣，所不同的是，我們要求外來人員無法接收到來自財務(wù)部辦公區(qū)的IP報文B。在這種情況下，我們可以在路由器R1上配置高級ACL。高級ACL可以根據(jù)目的IP地址信息識別去往目的地為外來人員辦公區(qū)的IP報文，然后在GE0/0/3接口的入方向（Inbound方向）上拒絕放行這樣的IP報文。高級ACL的配置高級ACL的配置示意圖如下。PC2GE0/0/3外來人員辦公區(qū)/24財務(wù)部辦公區(qū)/24R1項目部辦公區(qū)/24PC1PC3GE0/0/2GE0/0/1報文B高級ACL：在G0/0/3接口的入方向拒絕放行去往目的IP地址為的報文B目的IP地址為IP:/24IP:/24IP:/24高級ACL的配置（2）案例配置過程①置路由器R1。首先，我們在路由器R1的系統(tǒng)視圖下創(chuàng)建一個編號為3000的ACL。[R1]acl3000[R1-acl-adv-3000]高級ACL的配置（2）案例配置過程②然后，在ACL3000的視圖下創(chuàng)建如下的規(guī)則。[R1-acl-adv-3000]ruledenyipdestination[R1-acl-adv-3000]高級ACL的配置（2）案例配置過程③最后，使用報文過濾技術(shù)中的traffic-filter命令將ACL3000應(yīng)用在路由器R1的GE0/0/3接口的入方向上。[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000[R1-GigabitEthernet0/0/3]高級ACL配置示例2、案例

高級ACL配置示例（1）案例背景與要求：如圖所示網(wǎng)絡(luò)拓?fù)洌诼酚善鱎1和R2上配置OSPF協(xié)議實現(xiàn)網(wǎng)絡(luò)通信。在路由器R2上配置高級ACL，要求如下：①允許主機(jī)PC1訪問路由器R2的TELNET服務(wù)。②允許主機(jī)PC2訪問路由器R2的的FTP服務(wù)。/24/24/24GE0/0/2GE0/0/0GE0/0/1GE0/0/0R1PC1IP：/24/24GE0/0/1Server1IP：53/24R2PC2IP：/24路由器各接口IP均為X.254/24高級ACL配置示例（2）案例配置思路①配置路由器R1和R2的接口IP、OSPF協(xié)議等，實現(xiàn)全網(wǎng)通信。②在路由器R2上創(chuàng)建高級ACL服務(wù)。③在路由器R2的GE0/0/0接口的入方向和VTY（VirtualTypeTerminal）上應(yīng)用所配置的高級ACL服務(wù)。高級ACL配置示例（3）案例配置過程①配置路由器R2的高級ACL<R2>system-view[R2]acl3000[R2-acl-adv-3000]rule5permittcpsourcedestinationdestination-porteq23[R2-acl-adv-3000]rule10permittcpsourcedestination53destination-portrange2021[R2-acl-adv-3000]rule15denyip高級ACL配置示例（3）案例配置過程②在路由器R2的GE0/0/0接口應(yīng)用ACL3000[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000高級ACL配置示例（3）案例配置過程③在路由器R2的VTY上應(yīng)用ACL3000<R2>system-view[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound高級ACL配置示例（4）案例驗證①在路由器上使用displayacl3000命令來查看ACL3000的配置信息。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip高級ACL配置示例（4）案例驗證②我們在主機(jī)PC1上使用Telnet方式登錄路由器，發(fā)現(xiàn)可以正常登錄。<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:00高級ACL配置示例（4）案例驗證③我們在主機(jī)PC2上登錄Server1的FTP，發(fā)現(xiàn)可以正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin