开启防火墙后使ftp服务通过（22使用ACL）

开启防火墙后使ftp服务通过（22使用ACL）二、配置思路：本例中配置的本地用户登录密码方式为cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到密码，安全性较低。访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL

组网要求：Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：子网1PC1（192.168.10.0/24）的所有用户在任意时间都可以访问FTP服务器。其他子网2用户PC2不可以访问FTP服务器。已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

一、主要知识点：

ACL 简介

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。 如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。

配置注意事项：

本例中配置的本地用户登录密码方式为cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到密码，安全性较低。

二、配置思路：

1. 配置各设备接口IP地址，使网络层路由可达。

2. 配置基本ACL。

3. 配置FTP基本功能。

4. 配置FTP服务器访问权限。

三、IP设置：

1、PC1：192.168.10.1/24 vlan10

PC2:172.16.31.1/24 vlan20

2、FTP_Server：vlan10，vlan 20

Vlanif10:192.168.10.254/24

Vlanif20:172.16.31.254/24

四、switch交换机的主要配置文件：

#

sysname FTP_Server

#

FTP server enable

FTP acl 2001

#

vlan batch 10 20

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

diffserv domain default

#

acl number 2001

rule 5 permit source 192.168.10.0 0.0.0.255

rule 10 deny

#

drop-profile default

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user ftp password simple ftp123456

local-user ftp privilege level 15

local-user ftp ftp-directory flash:/

local-user ftp service-type ftp

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 172.16.31.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

user-interface con 0

user-interface vty 0 4

#

return

五、验证配置结果：

1、PC2 ping FTP_Server交换机192.168.10.254是通的。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=2 ttl=255 time=31 ms

From 192.168.10.254: bytes=32 seq=3 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=4 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 15/18/31 ms

2、在子网1的PC1（192.168.10.1/24）上执行ftp 192.168.10.254命令，可以连接FTP服务器。

3、在子网2的PC2（172.16.31.1/24）上执行ftp 192.168.10.254命令，不能连接FTP服务器。

本实验是通过华为模拟器eNSP1.3.00.100版（最新版）完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS，可完成复杂网络测试，需要该模拟器的朋友，可以转发此文关注小编，私信小编【666】即可获得。