开启防火墙后使ftp服务通过(22使用ACL)
开启防火墙后使ftp服务通过(22使用ACL)二、配置思路:本例中配置的本地用户登录密码方式为cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL
组网要求:Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1PC1(192.168.10.0/24)的所有用户在任意时间都可以访问FTP服务器。其他子网2用户PC2不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。
一、主要知识点:
ACL 简介
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。
配置注意事项:
本例中配置的本地用户登录密码方式为cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。
二、配置思路:
1. 配置各设备接口IP地址,使网络层路由可达。
2. 配置基本ACL。
3. 配置FTP基本功能。
4. 配置FTP服务器访问权限。
三、IP设置:
1、PC1:192.168.10.1/24 vlan10
PC2:172.16.31.1/24 vlan20
2、FTP_Server:vlan10,vlan 20
Vlanif10:192.168.10.254/24
Vlanif20:172.16.31.254/24
四、switch交换机的主要配置文件:
#
sysname FTP_Server
#
FTP server enable
FTP acl 2001
#
vlan batch 10 20
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
acl number 2001
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 deny
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user ftp password simple ftp123456
local-user ftp privilege level 15
local-user ftp ftp-directory flash:/
local-user ftp service-type ftp
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 172.16.31.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
user-interface con 0
user-interface vty 0 4
#
return
五、验证配置结果:
1、PC2 ping FTP_Server交换机192.168.10.254是通的。
PC>ping 192.168.10.254
Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break
From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms
From 192.168.10.254: bytes=32 seq=2 ttl=255 time=31 ms
From 192.168.10.254: bytes=32 seq=3 ttl=255 time=16 ms
From 192.168.10.254: bytes=32 seq=4 ttl=255 time=15 ms
From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms
--- 192.168.10.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/18/31 ms
2、在子网1的PC1(192.168.10.1/24)上执行ftp 192.168.10.254命令,可以连接FTP服务器。
3、在子网2的PC2(172.16.31.1/24)上执行ftp 192.168.10.254命令,不能连接FTP服务器。
本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。