网络设备安装与调试技术 课件 第9章-网络间的访问控制( 华三版-03华三篇)

第9章

网络间的访问控制编著：

秦燊劳翠金

之前已经实现了公司总部与分部间、公司各部门间的互联互访，但考虑到网络安全的需求，各子网间的互访需要进行一些控制，如禁止公司分部访问总部的财务部门、禁止公司总部的市场部门访问分部、只允许网络管理人员远程访问和管理网络设备等。这些子网间访问控制的需求可以通过ACL（AccessControlList，访问控制列表）实现。ACL是应用在路由器接口的指令规则列表，这些列表可根据数据包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行这些数据包还是拦截这些数据包，达到对子网间访问控制的目的。9.1标准和基础ACL1.标准ACL也叫基本ACL，它只根据报文的源IP地址来允许或拒绝数据包，不考虑目的地址、端口等信息。2.ACL创建好后，需要在接口上应用才会生效。在接口应用ACL时，要指明是应用在路由器的入方向还是出方向上。对于进入路由器的数据包，路由器会先检查入方向的ACL，只有ACL允许通行才查询路由表；对于从路由器外出的数据包则先查询路由表，明确出接口后才查看出方向的ACL。可见把ACL应用到入站接口比应用到出站接口效率更高。3.应用ACL时，还要考虑应用到哪台路由器上更好。由于标准ACL只能根据源地址过滤数据包，为了避免过早拒绝导致拒绝范围被扩大，标准ACL应该应用到离目的地最近的路由器上。4.ACL被应用在路由器接口的入或出方向后，方向一致的数据包流经接口时，就会被从ACL的第一个表项开始、自上而下的进行检查，一旦当前被检查的数据包匹配某一表项的条件，就停止对后续表项的检查，并执行当前表项的动作。动作有两个，一个是允许通过permit，另一个的拒绝通过deny。9.1.3华三设备配置基本ACL一个ACL中可以包含多条规则，华三设备与华为设备一样，为流策略和Telnet分别规定了一条默认规则，默认规则会自动添加到所有规则的最后。其中，流策略的ACL默认规则是“允许所有”，Telnet的ACL默认规则是“拒绝所有”。华三设备的基本ACL编号是2000~2999。如图9-3所示，在HCL中搭建拓扑，配置地址，配置单区域OSPF使全网互通。为R3开启telnet服务，允许通过密码“123@h3c”对它进行telnet远程管理。配置基本ACL只允许PC0访问路由器R3的Telnet服务；拒绝PC1所在网段访问Server0（0）。图9-3华三设备配置基本ACL的拓扑

1.PC0、PC1和Server0采用VMware的windows虚拟机连接，具体方法如下：

（1）如图9-4所示，在桌面打开OracleVMVirtualBox管理器，选择“全局工具”中的“主机网络管理器”，创建“VirtualBoxHost-OnlyEthernetAdapter#2”和“VirtualBoxHost-OnlyEthernetAdapter#3”。图9-4OracleVMVirtualBox管理器

（2）如图9-5所示，打开桌面的VMwareWorkstation，参照“华三设备无密码的远程telnet连接”实验中给VMWare的虚拟网卡和VirtualBox的虚拟网卡间建立联系的方法，将VMnet1桥接到VirtualBoxHost-OnlyEthernetAdapter，将VMnet2桥接到VirtualBoxHost-OnlyEthernetAdapter#2，将VMnet3桥接到VirtualBoxHost-OnlyEthernetAdapter#3。图9-5VMwareWorkstation虚拟网络编辑器（3）PC0的配置如下：IP地址：0，子网掩码：，网关：（4）PC1的配置如下：IP地址：0，子网掩码：，网关：（5）Server0的配置如下：IP地址：0，子网掩码：，网关：

2.路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]ipaddress30[R2]interfaceGigabitEthernet0/0//R2的配置[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]ipaddress30[R3]interfaceGigabitEthernet0/1//R3的配置[R3-GigabitEthernet0/1]ipaddress30[R3-GigabitEthernet0/1]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]ipaddress24

3.在R3上配置telnet，命令如下：[R3]telnetserverenable[R3]linevty04[R3-line-vty0-4]protocolinboundtelnet[R3-line-vty0-4]authentication-modepassword[R3-line-vty0-4]setauthenticationpasswordsimple123@h3c[R3-line-vty0-4]userlevel-15

4.各路由器上动态路由的配置，命令如下：[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network555.在各路由器上查看OSPF路由表，命令如下：[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置方法和测试过程如下：

（1）ACL的配置命令如下：[R3]aclnumber2000[R3-acl-ipv4-basic-2000]rulepermitsource00//为R3定义ACL2000的第一条规则，允许0（即PC0）通过，Telnet的ACL默认规则动作“拒绝所有”将自动添加在最后，成为ACL2000的第二条规则[R3-acl-ipv4-basic-2000]quit[R3]telnetserveracl2000//将ACL2000应用在telnet远程连接上

（2）PC0远程连接R3测试，命令如下：C:\DocumentsandSettings\Administrator>telnetPassword://输入密码123@h3c<R3>//成功连接到R3<R3>quit//输入命令返回

（3）PC1远程连接R3测试，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示：正在连接到...不能打开到主机的连接，在端口23:连接失败

7.用于流策略的ACL配置方法和测试过程如下：

（1）ACL的配置命令如下：[R3]aclnumber2001[R3-acl-ipv4-basic-2001]ruledenysource55//为R3定义ACL2001的第一条规则，拒绝（即PC所在网段）通过，流策略的ACL默认规则动作“允许所有”将自动添加在最后，成为ACL2001的第二条规则[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]packet-filter2001outbound//将ACL2001应用在当前接口的出方向[R3-GigabitEthernet0/0]quit

（2）PC0pingServer0测试，命令如下：C:\DocumentsandSettings\Administrator>ping0Replyfrom0:bytes=32time=3msTTL=125//可以ping通（3）PC1pingServer0测试，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//无法ping通9.2扩展和高级ACL

扩展ACL-也称为高级ACL，扩展ACL可根据数据包的源IP地址、目的IP地址、指定协议、源端口、目的端口和标志来允许或拒绝数据包。9.2.3华三设备配置高级ACL

下面，介绍华三设备配置高级ACL的方法。在基础ACL实验的基础上继续，使用扩展ACL实现以下功能：（1）只允许PC1所在网段访问R3的Telnet服务；（2）拒绝PC0所在网段pingServer0（0）；（3）拒绝PC0所在网段访问Server0（0）的Web服务和FTP服务；（4）单向ping限制：不允许PC1pingServer0，但允许Server0pingPC1。

1.清空R3上原来的ACL配置，命令如下：[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]undopacket-filter2001outbound[R3-GigabitEthernet0/0]quit[R3]undotelnetserveracl[R3]undoaclallAllIPv4ACLswillbedeleted.Continue?[Y/N]:y

2.R1上的ACL配置，命令如下：[R1]aclnumber3000[R1-acl-ipv4-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定义了ACL3000的第一条规则，permit表示符合条件则允许通过；tcp表示根据tcp协议的端口号来进行是否符合条件的判断；条件的前半部分55省略了源端口号，指的是“55+任意源端口号”，表示PC2所在网段作为源IP，且对源端口号不做限制；条件的后半部分“destination0destination-porteq23”指的是目标地址为，即R3的IP地址，且目标TCP端口号等于23，即telnet服务[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination0destination-porteq23//此命令定义了ACL3000的第二条规则，此处目标地址是R3另一个接口的地址[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定义了ACL3000的第三条规则，拒绝了任意源IP地址、任意源端口号访问地址、且TCP端口号等于23的目标[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定义了ACL3000的第四条规则，此处目标地址是R3另一个接口的地址

以上4条ACL100的列表项实现了只允许PC2所在网段访问R3的telnet服务。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55destination00//此命令定义了ACL3000的第五条规则，拒绝PC0所在网段（）pingServer0（0）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定义了ACL3000的第六条规则，拒绝PC0所在网段（）访问Server0（0）的tcp80端口，即Web服务[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定义了ACL3000的第七条规则，拒绝PC0所在网段（）访问Server0（0）的tcp21端口，即FTP服务的控制通道[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq20//此命令定义了ACL3000的第八条规则，拒绝PC0所在网段（）访问Server0（0）的tcp20端口，即FTP服务的数据通道[R1-acl-ipv4-adv-3000]ruledenyicmpsource00destination00icmp-typeecho//此命令定义了ACL100的第九个列表项，作用是不允许PC1（0）pingServer0（0），但不拒绝Server0pingPC1。Ping成功意味着去到了目标并且成功返回，即有去有回。其中icmp协议的echo表示去的过程，即源向目标发出回显请求；icmp协议的echoreply表示回的过程，即目标向源发回的回显答复以上3条ACL3000的列表项拒绝了PC0所在网段访问Server0（0）的Web服务和FTP服务。还有一条默认ACL条目排在最后，内容是允许所有源访问所有目标的IP协议。

3.在R1的G0/2接口下应用ACL，命令如下：[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]packet-filter3000outbound//在接口下应用ACL，定义好的ACL只有被应用了才会生效4.分别在PC1和PC0上访问R3，比较访问效果。方法如下：（1）在PC0上通过telnet远程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示“正在连接到...不能打开到主机的连接，在端口23:连接失败”。

（2）在PC1上通过telnet远程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnetPassword://输入密码123@h3c<R3>quit//连接成功，用quit命令返回

5.验证“拒绝PC0所在网段pingServer0（0）”，方法如下：

（1）PC0pingServer0（0）测试，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//无法ping通

（2）PC0ping测试，命令如下：C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=20msTTL=253//可以ping通

6.验证“拒绝PC0所在网段访问Server0（0）的Web服务和FTP服务”，方法如下：

（1）如图9-11所示，在Server0上搭建Web服务和FTP服务。图9-11在Server0上搭建Web服务和FTP服务

（2）如图9-12所示，在Server0上创建用户user1，为其设置密码，用于FTP连接。图9-1