使用ACL限制FTP訪問權限示例

圖1 使用基本ACL限制FTP訪問權限組網圖

ACL簡介

訪問控制列表ACL（Access ControlList）是由一條或多條規則組成的集合。所謂規則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等。

ACL本質上是一種報文過濾器，規則是過濾器的濾芯。設備基于這些規則進行報文匹配，可以過濾出特定的報文，并根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。

基于ACL規則定義方式，可以將ACL分為基本ACL、高級ACL、二層ACL等種類?；続CL根據源IP地址、分片信息和生效時間段等信息來定義規則，對IPv4報文進行過濾。如果只需要根據源IP地址對報文進行過濾，可以配置基本ACL。

本例，就是將基本ACL應用在FTP模塊中，實現只允許指定的客戶端訪問FTP服務器，以提高安全性。

配置注意事項

· 本例中配置的本地用戶登錄密碼方式為irreversible-cipher，表示對用戶密碼采用不可逆算法進行加密，非法用戶無法通過解密算法特殊處理后得到密碼，安全性較高，該方式僅適用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用戶登錄密碼，僅能采用cipher方式，表示對用戶密碼采用可逆算法進行加密，非法用戶可以通過對應的解密算法解密密文后得到密碼，安全性較低。

· 本舉例適用于S系列交換機所有產品的所有版本。

組網需求

如圖1所示，Switch作為FTP服務器，對網絡中的不同用戶開放不同的訪問權限：

· 子網1（172.16.105.0/24）的所有用戶在任意時間都可以訪問FTP服務器。

· 子網2（172.16.107.0/24）的所有用戶只能在某一個時間范圍內訪問FTP服務器。

· 其他用戶不可以訪問FTP服務器。

已知Switch與各個子網之間路由可達，要求在Switch上進行配置，實現FTP服務器對客戶端訪問權限的設置。

操作步驟

1. 配置時間段

<HUAWEI> system-view

[HUAWEI] sysnameSwitch

[Switch] time-rangeftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //配置ACL生效時間段，該時間段是一個絕對時間段模式的時間段

[Switch] time-rangeftp-access 14:00 to 18:00 off-day //配置ACL生效時間段，該時間段是一個周期時間段，表示每個休息日下午14:00到18:00，ftp-access最終生效的時間范圍為以上兩個時間段的交集

2. 配置基本ACL

[Switch] aclnumber 2001

[Switch-acl-basic-2001]rule permit source 172.16.105.0 0.0.0.255 //允許172.16.105.0/24網段的所有用戶在任意時間都可以訪問FTP服務器

[Switch-acl-basic-2001]rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24網段的所有用戶只能在ftp-access時間段定義的時間范圍內訪問FTP服務器

[Switch-acl-basic-2001]rule deny source any //限制其他用戶不可以訪問FTP服務器

[Switch-acl-basic-2001]quit

3. 配置FTP基本功能

[Switch] ftpserver enable //開啟設備的FTP服務器功能，允許FTP用戶登錄

[Switch] aaa

[Switch-aaa] local-userhuawei password irreversible-cipher SetUserPassword@123 //配置FTP用戶的用戶名和密碼，其中irreversible-cipher方式的密碼僅適用于V200R003C00及以后版本，在V200R003C00之前版本上，僅適用cipher方式密碼

[Switch-aaa]local-user huawei privilege level 15 //配置FTP用戶的用戶級別

[Switch-aaa]local-user huawei service-type ftp //配置FTP用戶的服務類型

[Switch-aaa]local-user huawei ftp-directory cfcard:/ //配置FTP用戶的授權目錄，在盒式交換機上需配置為flash:/

[Switch-aaa]quit

4. 配置FTP服務器訪問權限

[Switch] ftp acl2001 //在FTP模塊中應用ACL

5. 驗證配置結果

在子網1的PC1（172.16.105.111/24）上執行ftp 172.16.104.110命令，可以連接FTP服務器。

2014年某個周一在子網2的PC2（172.16.107.111/24）上執行ftp 172.16.104.110命令，不能連接FTP服務器；2014年某個周六下午15:00在子網2的PC2（172.16.107.111/24）上執行ftp 172.16.104.110命令，可以連接FTP服務器。

在PC3（10.10.10.1/24）上執行ftp172.16.104.110命令，不能連接FTP服務器。

配置文件

Switch的配置文件

#

sysname Switch

#

FTP server enable

FTP acl 2001

#

time-rangeftp-access 14:00 to 18:00 off-day

time-rangeftp-access from 00:00 2014/1/1 to 23:59 2014/12/31

#

acl number 2001

rule 5 permit source 172.16.105.0 0.0.0.255

rule 10 permit source 172.16.107.0 0.0.0.255time-range ftp-access

rule 15 deny

#

aaa

local-user huawei password irreversible-cipher%^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g'e0baw#%^%#

local-user huawei privilege level 15

local-user huawei ftp-directory cfcard:/

local-user huawei service-type ftp

#

return