微信公众号:网络民工 获取更多精彩内容
?组网图形
图1 使用基本ACL限制FTP访问权限组网图
ACL简介
访问控制列表ACL(Access ControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。
配置注意事项
· 本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。
· 本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:
· 子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。
· 子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。
· 其他用户不可以访问FTP服务器。
已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。
操作步骤
- 配置时间段
<HUAWEI> system-view
[HUAWEI] sysnameSwitch
[Switch] time-rangeftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段
[Switch] time-rangeftp-access 14:00 to 18:00 off-day //配置ACL生效时间段,该时间段是一个周期时间段,表示每个休息日下午14:00到18:00,ftp-access最终生效的时间范围为以上两个时间段的交集
- 配置基本ACL
[Switch] aclnumber 2001
[Switch-acl-basic-2001]rule permit source 172.16.105.0 0.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器
[Switch-acl-basic-2001]rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器
[Switch-acl-basic-2001]rule deny source any //限制其他用户不可以访问FTP服务器
[Switch-acl-basic-2001]quit
- 配置FTP基本功能
[Switch] ftpserver enable //开启设备的FTP服务器功能,允许FTP用户登录
[Switch] aaa
[Switch-aaa] local-userhuawei password irreversible-cipher [email protected] //配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码
[Switch-aaa]local-user huawei privilege level 15 //配置FTP用户的用户级别
[Switch-aaa]local-user huawei service-type ftp //配置FTP用户的服务类型
[Switch-aaa]local-user huawei ftp-directory cfcard:/ //配置FTP用户的授权目录,在盒式交换机上需配置为flash:/
[Switch-aaa]quit
- 配置FTP服务器访问权限
[Switch] ftp acl2001 //在FTP模块中应用ACL
- 验证配置结果
在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。
2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:00在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。
在PC3(10.10.10.1/24)上执行ftp172.16.104.110命令,不能连接FTP服务器。
配置文件
Switch的配置文件
#
sysname Switch
#
FTP server enable
FTP acl 2001
#
time-rangeftp-access 14:00 to 18:00 off-day
time-rangeftp-access from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
rule 5 permit source 172.16.105.0 0.0.0.255
rule 10 permit source 172.16.107.0 0.0.0.255time-range ftp-access
rule 15 deny
#
aaa
local-user huawei password irreversible-cipher%^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g‘e0baw#%^%#
local-user huawei privilege level 15
local-user huawei ftp-directory cfcard:/
local-user huawei service-type ftp
#
return
微信公众号:网络民工 获取更多精彩内容
原文地址:https://blog.51cto.com/jiajunjie/2475140