Пример использования ACL для ограничения доступа к FTP на коммутаторах S серии

Последний ответ ноя 06, 2019 16:55:20 74 5 0 0

Список контроля доступа (ACL) состоит из одного или набора правил, описывающих условия выбора пакетов. Эти условия включают исходные адреса, адреса назначения и номера портов пакетов.

ACL фильтрует пакеты на основе правил. Устройство с настроенным ACL сопоставляет пакеты на основе правил для получения пакетов определенного типа, а затем решает пересылать или отбрасывать эти пакеты в соответствии с политиками, используемыми сервисным модулем, к которому применяется ACL.

В зависимости от методов используемых в правилах ACL разделяют базовый ACL, расширенный ACL и ACL уровня 2. Базовый ACL определяет правила фильтрации пакетов IPv4 на основе информации, такой как исходные IP-адреса, информации о фрагментах и диапазона времени. Если нужно только фильтровать пакеты на основе исходных IP-адресов, вы можете настроить базовый ACL.

В данном примере базовый ACL применяется к модулю FTP, чтобы разрешить только указанным клиентам получать доступ к FTP-серверу, улучшая безопасность FTP-сервера.

 

Как показано на схеме, Switch функционирует как FTP-сервер. Требования следующие:

- Все пользователи в подсети 1 (172.16.105.0/24) имеют право доступа к FTP-серверу в любое время.

- Все пользователи в подсети 2 (172.16.107.0/24) имеют право доступа к FTP-серверу только в течение указанного периода времени.

- Другим пользователям доступ к FTP-серверу запрещен.

Маршруты на Switch к указанным подсетями уже существуют. Необходимо настроить Switch для ограниченя доступа пользователей к FTP-серверу.

1


Шаг 1 Настройка временного диапазона.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] time-range ftp-access from 0:0 2019/1/1 to 23:59 2019/12/31 //Создание абсолютного временного диапазона для ACL.
[Switch] time-range ftp-access 14:00 to 18:00 off-day //Создание временной диапазон для ACL. Временной диапазон с 14:00 до 18: 00 каждый день включая выходные. Период действия ftp-access - это перекрытие двух временных диапазонов.


Шаг 2 Настройка базововых ACL.

[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 //Разрешение пользователям в сегменте 172.16.105.0/24 получать доступ к FTP-серверу в любое время.
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftpaccess // Разрешение пользователям в сегменте 172.16.107.0/24 получать доступ к FTP-серверу только в диапазоне времени ftp-access.
[Switch-acl-basic-2001] rule deny source any //Запрет доступа других пользователей к FTP-серверу.
[Switch-acl-basic-2001] quit


 

Шаг 3 Настройка функции FTP.

[Switch] ftp server enable //Включите FTP-сервер, чтобы пользователи могли войти на устройство через FTP.
[Switch] aaa
[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123 //Настройте имя и пароль FTP-пользователя.
[Switch-aaa] local-user huawei privilege level 15 //Установите пользовательский уровень FTP.
[Switch-aaa] local-user huawei service-type ftp //Установите тип сервиса пользователя FTP.
[Switch-aaa] local-user huawei ftp-directory cfcard:/ //Настройте рабочий каталог FTP, который должен быть настроен как flash:/ на fixed-коммутаторе.
[Switch-aaa] quit
Шаг 4 Настройте разрешения доступа к FTP-серверу.
[Switch] ftp acl 2001 //Примените ACL к FTP-модулю.


 

Шаг 5 Проверьте конфигурацию.

Выполните команду ftp 172.16.104.110 на PC1 (172.16.105.111/24) в подсети 1. PC1 может подключиться к серверу FTP.

Выполните команду ftp 172.16.104.110 на PC2 (172.16.107.111/24) в подсети 2 в понедельник. PC2 не может подключиться к серверу FTP. Выполните команду ftp 172.16.104.110 на PC2 (172.16.107.111/24) в подсети 2 в 15:00 в субботу. PC2 может подключиться к серверу FTP.

Выполните команду ftp 172.16.104.110 на PC3 (10.10.10.1/24). PC3 не может подключиться к серверу FTP.

 

Файл конфигурации Switch

#
sysname Switch
#
FTP server enable
FTP acl 2001
#
time-range ftp-access 14:00 to 18:00 off-day
time-range ftp-access from 00:00 2019/1/1 to 23:59 2019/12/31
#
acl number 2001
rule 5 permit source 172.16.105.0 0.0.0.255
rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access
rule 15 deny
#
aaa
local-user huawei password irreversible-cipher %^%#uM-!TkAaGB5=$$6SQuw$#batog!
R7M_d^!o{*@N9g'e0baw#%^%#
local-user huawei privilege level 15
local-user huawei ftp-directory cfcard:/
local-user huawei service-type ftp
#
return



  • x

KKV
Опубликовано 2019-11-6 11:32:31 Полезно(0) Полезно(0)
Добрый день1

Скажите, а какие самые популярные правила, которые применяются на практике? Полагаю, что сфера применения правил не ограничивается контролем доступа.

Заранее спасибо за ответ!
  • x

user_2909167
user_2909167 Опубликовано 2019-11-6 11:44
Здравствуйте. Правила ACL широко применяются для фильтрации пакетов траффика, ограничения доступа к устройству, выделения траффика который необходимо обработать каким то отдельным обра  
user_2909167
user_2909167 Ответить user_2909167  Опубликовано 2019-11-6 11:49
образом, использование в правилах QoS (quality of service), в маршрутизации. Везде где нужно выделить какойто траффик для дальнейших манипуляций с ним  
KKV
Опубликовано 2019-11-6 16:52:55 Полезно(0) Полезно(0)
Доходчиво. Спасибо! Скажите, есть ли в планах статья по QoS? Попробовал поискать внутри раздела и не нашёл информации.
  • x

user_2909167
Модератор Опубликовано 2019-11-6 16:55:20 Полезно(0) Полезно(0)
Велкам. По QoS обязательно будет. Раздел интересный, спасибо за фидбек
  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход