ACL本質(zhì)上是一種報(bào)文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報(bào)文通過。

基于ACL規(guī)則定義方式，可以將ACL分為基本ACL、高級(jí)ACL、二層ACL等種類。基本ACL根據(jù)源IP地址、分片信息和生效時(shí)間段等信息來定義規(guī)則，對(duì)IPv4報(bào)文進(jìn)行過濾。如果只需要根據(jù)源IP地址對(duì)報(bào)文進(jìn)行過濾，可以配置基本ACL。

本例，就是將基本ACL應(yīng)用在FTP模塊中，實(shí)現(xiàn)只允許指定的客戶端訪問FTP服務(wù)器，以提高安全性。

• 本例中配置的本地用戶登錄密碼方式為irreversible-cipher，表示對(duì)用戶密碼采用不可逆算法進(jìn)行加密，非法用戶無法通過解密算法特殊處理后得到密碼，安全性較高，該方式僅適用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用戶登錄密碼，僅能采用cipher方式，表示對(duì)用戶密碼采用可逆算法進(jìn)行加密，非法用戶可以通過對(duì)應(yīng)的解密算法解密密文后得到密碼，安全性較低。

• 本舉例適用于S系列交換機(jī)所有產(chǎn)品的所有版本。

如圖1所示，Switch作為FTP服務(wù)器，對(duì)網(wǎng)絡(luò)中的不同用戶開放不同的訪問權(quán)限：

• 子網(wǎng)1（172.16.105.0/24）的所有用戶在任意時(shí)間都可以訪問FTP服務(wù)器。

• 子網(wǎng)2（172.16.107.0/24）的所有用戶只能在某一個(gè)時(shí)間范圍內(nèi)訪問FTP服務(wù)器。

• 其他用戶不可以訪問FTP服務(wù)器。

已知Switch與各個(gè)子網(wǎng)之間路由可達(dá)，要求在Switch上進(jìn)行配置，實(shí)現(xiàn)FTP服務(wù)器對(duì)客戶端訪問權(quán)限的設(shè)置。

圖1 使用基本ACL限制FTP訪問權(quán)限組網(wǎng)圖

  1、配置時(shí)間段

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] time-range ftp-access from 0:0 2021/1/1 to 23:59 2021/12/31  //配置ACL生效時(shí)間段，該時(shí)間段是一個(gè)絕對(duì)時(shí)間段模式的時(shí)間段
[Switch] time-range ftp-access 14:00 to 18:00 off-day    //配置ACL生效時(shí)間段，該時(shí)間段是一個(gè)周期時(shí)間段，表示每個(gè)休息日下午14:00到18:00，ftp-access最終生效的時(shí)間范圍為以上兩個(gè)時(shí)間段的交集

2、配置基本ACL

[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  //允許172.16.105.0/24網(wǎng)段的所有用戶在任意時(shí)間都可以訪問FTP服務(wù)器
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  //限制172.16.107.0/24網(wǎng)段的所有用戶只能在ftp-access時(shí)間段定義的時(shí)間范圍內(nèi)訪問FTP服務(wù)器
[Switch-acl-basic-2001] rule deny source any  //限制其他用戶不可以訪問FTP服務(wù)器
[Switch-acl-basic-2001] quit

3、配置FTP基本功能

[Switch] ftp server enable  //開啟設(shè)備的FTP服務(wù)器功能，允許FTP用戶登錄。
[Switch] ftp server-source -i Vlanif 10    //配置服務(wù)器端的源接口為172.16.104.110對(duì)應(yīng)的接口，假設(shè)該接口為Vlanif 10。
[Switch] aaa            
[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123  //配置FTP用戶的用戶名和密碼，其中irreversible-cipher方式的密碼僅適用于V200R003C00及以后版本，在V200R003C00之前版本上，僅適用cipher方式密碼
[Switch-aaa] local-user huawei privilege level 15  //配置FTP用戶的用戶級(jí)別
[Switch-aaa] local-user huawei service-type ftp  //配置FTP用戶的服務(wù)類型
[Switch-aaa] local-user huawei ftp-directory cfcard:/  //配置FTP用戶的授權(quán)目錄，在盒式交換機(jī)上需配置為flash:/
[Switch-aaa] quit

4、配置FTP服務(wù)器訪問權(quán)限

[Switch] ftp acl 2001  //在FTP模塊中應(yīng)用ACL

  5、驗(yàn)證配置結(jié)果

在子網(wǎng)1的PC1（172.16.105.111/24）上執(zhí)行ftp 172.16.104.110命令，可以連接FTP服務(wù)器。

2021年某個(gè)周一在子網(wǎng)2的PC2（172.16.107.111/24）上執(zhí)行ftp 172.16.104.110命令，不能連接FTP服務(wù)器；2021年某個(gè)周六下午15:00在子網(wǎng)2的PC2（172.16.107.111/24）上執(zhí)行ftp 172.16.104.110命令，可以連接FTP服務(wù)器。

在PC3（10.10.10.1/24）上執(zhí)行ftp 172.16.104.110命令，不能連接FTP服務(wù)器。