Cyber_Security_Notes/B. 第二阶段/拓扑练习/0830_高级ACL.md

高级ACL

一 、IP & Routing

• PC、Client、Server

• AR1

  [AR1]int g0/0/0
  [AR1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
  [AR1-GigabitEthernet0/0/0]int g0/0/2
  [AR1-GigabitEthernet0/0/2]ip add 192.168.1.254 24
  [AR1-GigabitEthernet0/0/2]quit
  [AR1]ip route-static 192.168.2.0 24 192.168.12.2
  [AR1]ip route-static 192.168.3.0 24 192.168.12.2
  [AR1]ip route-static 192.168.23.0 24 192.168.12.2
  

• AR2

  [AR2]int g0/0/0
  [AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24
  [AR2-GigabitEthernet0/0/0]int g0/0/1
  [AR2-GigabitEthernet0/0/1]ip add 192.168.23.2 24
  [AR2-GigabitEthernet0/0/1]int g0/0/2
  [AR2-GigabitEthernet0/0/2]ip add 192.168.2.254 24
  [AR2-GigabitEthernet0/0/2]quit
  [AR2]ip route-static 192.168.1.0 24 192.168.12.1
  [AR2]ip route-static 192.168.3.0 24 192.168.23.3
  

• AR3

  [AR3]int g0/0/0
  [AR3-GigabitEthernet0/0/0]ip add 192.168.23.3 24
  [AR3-GigabitEthernet0/0/0]int g0/0/2
  [AR3-GigabitEthernet0/0/2]ip add 192.168.3.254 24
  [AR3-GigabitEthernet0/0/2]quit
  [AR3]ip route-static 192.168.1.0 24 192.168.23.2
  [AR3]ip route-static 192.168.2.0 24 192.168.23.2
  [AR3]ip route-static 192.168.12.0 24 192.168.23.2
  

二、连通性测试

三个终端全部互通

三、ACL

• AR1

  [AR1]acl 3000
  [AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80
  [AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255
  [AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any
  [AR1]int g0/0/2
  [AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
  

  解析

  • [AR1]acl 3000：在标记为AR1的网络设备上创建一个编号为3000的高级访问控制列表（ACL）。

  • [AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80：在ACL 3000中添加一条规则，具体参数如下：

    • rule 10：指定该规则的序号为10，这将决定规则的评估顺序。
    • permit tcp：表示该规则将允许匹配条件的流量，并且流量使用的是TCP协议。
    • source 192.168.1.1 0.0.0.0：指定流量的源IP地址为192.168.1.1。0.0.0.0通配符表示只匹配指定的IP地址，没有变化。
    • destination 192.168.3.1 0.0.0.0：指定流量的目标IP地址为192.168.3.1。同样，0.0.0.0通配符表示只匹配指定的IP地址。
    • destination-port eq 80：指定该规则将匹配目标端口为80的流量，80端口是HTTP流量的标准端口。

    这条ACL规则允许来自源IP地址192.168.1.1到目标IP地址192.168.3.1的TCP流量，且仅限于端口80。

  • [AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255：在ACL 3000中添加一条规则，具体参数如下：

    • rule 20：指定该规则的序号为20，这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。
    • permit ip：表示该规则将允许匹配条件的IP流量，这里没有指定具体的传输层协议，因此这条规则将匹配所有使用IP协议的流量，包括TCP、UDP、ICMP等。
    • source 192.168.1.1 0.0.0.0：指定流量的源IP地址为192.168.1.1。0.0.0.0通配符表示只匹配指定的IP地址，没有变化。
    • destination 192.168.2.0 0.0.0.255：指定流量的目标IP地址范围为192.168.2.0/24网段。0.0.0.255通配符表示匹配192.168.2.0这个网段内的所有地址，即192.168.2.0到192.168.2.255。

    这条ACL规则允许来自源IP地址192.168.1.1的所有IP流量（包括所有协议）到目标IP地址范围192.168.2.0/24网段。

  • [AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any：在ACL 3000中添加一条规则，具体参数如下：

    • rule 30：指定该规则的序号为30，这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。
    • deny ip：表示该规则将拒绝匹配条件的IP流量，这里没有指定具体的传输层协议，因此这条规则将拒绝所有使用IP协议的流量，包括TCP、UDP、ICMP等。
    • source 192.168.1.1 0.0.0.0：指定流量的源IP地址为192.168.1.1。0.0.0.0通配符表示只匹配指定的IP地址，没有变化。
    • destination any：指定流量的目标IP地址可以是任何地址。这意味着这条规则将应用于从源IP地址192.168.1.1到任何目标IP地址的流量。

    这条ACL规则的作用是拒绝来自IP地址192.168.1.1的所有IP流量，无论这些流量的目标地址是什么。由于这条规则是在序号30的位置，它将在评估完所有序号小于30的规则之后才被考虑。如果之前的规则已经允许了某些流量，那么这些流量将不会被这条拒绝规则影响。

  • [AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000：在进入GigabitEthernet 0/0/2接口配置模式之后，这条命令用于配置接口的入站（inbound）流量过滤规则。

    • traffic-filter 命令用于指定应用于接口的ACL（访问控制列表）
    • inbound 表示过滤的是进入该接口的流量。
    • acl 3000 指定了之前创建的高级ACL 3000将应用于这个接口的入站流量。

    在AR1设备的GigabitEthernet 0/0/2接口上应用编号为3000的高级ACL，以过滤进入该接口的流量。这意味着所有尝试通过GigabitEthernet 0/0/2接口进入设备的流量都将根据ACL 3000中的规则进行检查，并根据这些规则被允许或拒绝。

四、功能性测试

• **Client **

  • PING Server*【Defeat】*

  

  • 访问 Server HTTP*【Success】*

    

  • 访问 Server FTP*【Defeat】*