快捷搜索:  汽车  科技

开启防火墙后使ftp服务通过(22使用ACL)

开启防火墙后使ftp服务通过(22使用ACL)二、配置思路:本例中配置的本地用户登录密码方式为cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL

开启防火墙后使ftp服务通过(22使用ACL)(1)

组网要求:Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1PC1(192.168.10.0/24)的所有用户在任意时间都可以访问FTP服务器。其他子网2用户PC2不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。

一、主要知识点:

ACL 简介

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。

配置注意事项:

本例中配置的本地用户登录密码方式为cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。

二、配置思路:

1. 配置各设备接口IP地址,使网络层路由可达。

2. 配置基本ACL。

3. 配置FTP基本功能。

4. 配置FTP服务器访问权限。

三、IP设置:

1、PC1:192.168.10.1/24 vlan10

PC2:172.16.31.1/24 vlan20

2、FTP_Server:vlan10,vlan 20

Vlanif10:192.168.10.254/24

Vlanif20:172.16.31.254/24

四、switch交换机的主要配置文件:

#

sysname FTP_Server

#

FTP server enable

FTP acl 2001

#

vlan batch 10 20

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

diffserv domain default

#

acl number 2001

rule 5 permit source 192.168.10.0 0.0.0.255

rule 10 deny

#

drop-profile default

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user ftp password simple ftp123456

local-user ftp privilege level 15

local-user ftp ftp-directory flash:/

local-user ftp service-type ftp

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 172.16.31.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

user-interface con 0

user-interface vty 0 4

#

return

五、验证配置结果:

1、PC2 ping FTP_Server交换机192.168.10.254是通的。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=2 ttl=255 time=31 ms

From 192.168.10.254: bytes=32 seq=3 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=4 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 15/18/31 ms

2、在子网1的PC1(192.168.10.1/24)上执行ftp 192.168.10.254命令,可以连接FTP服务器。

3、在子网2的PC2(172.16.31.1/24)上执行ftp 192.168.10.254命令,不能连接FTP服务器。

本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。

猜您喜欢: