HCIA-ACL(访问控制列表)+telent(远程登陆)

已于 2022-12-21 17:32:42 修改
阅读量1.1k 收藏 3
点赞数
文章标签: 网络协议 网络 网络安全 华为云
于 2022-12-08 13:37:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MonsterKnight/article/details/128235098
版权

访问控制列表——ACL

1、作用

1.1、访问控制 – 在路由器流量入或出的接口上,匹配流量,之后产生动作—允许、拒绝(控制该接口流量的出入)
1.2、定义感兴趣流量—帮助其他的策略协议抓流量(更加进准的控制,例如帮助流量限速等);

2、匹配规则

至上而下逐一匹配,上条匹配按上条执行,不再查看下条;
在思科体系中,末尾隐含拒绝所有; 在华为体系中,末尾隐含允许所有;

3、分类

标准ACL – 仅关注数据包中的源ip地址;
扩展ACL-- 关注数据包中的源、目标ip地址,协议号或目标端口号;

4、标准ACL配置

由于标准ACL仅关注数据包中的源IP地址;故调用时尽量的靠近目标;避免源对其他地址的访问被误删;

[r2]acl ?
  INTEGER<2000-2999>  标准ACL编号2000-2999
  INTEGER<3000-3999> 扩展ACL编号3000-3999

注:一个编号是一张规则,一张规则列表中可以容纳大量的具体规则,一个接口只能拥有一张规则列表;

[r2]acl 2000          定义标准ACL
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 
 //规则:拒绝源IP是192.168.1.2的流量通过

注:在匹配地址时,需要使用通配符:ACL的通配符与OSPF的反掩码匹配规则相同;唯一的区别在于通配符可以0、1穿插

批量操作:

[r2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
 //规则:允许源IP是192.168.2.0-192.168.2.255范围的流量通过
[r2-acl-basic-2000]rule permit source any    //允许所有

注:由于ACL的匹配规则从上至下,序列号代表规则执行顺序,默认以5为步调自动添加序列号(例如第一天命令序列号是5 ,下一条就是序列号10);在制定匹配规则时加上序列号便于插入和删除

[r2-acl-basic-2000]rule 7 deny source 192.168.2.1 0 //序列号为7,介于默认序列
号5和10之间(也就是在第一条和第三条命令间再加上一条命令),执行拒绝源IP是192.168.2.1的流量通过
[r2-acl-basic-2000]undo rule 7  //删除序列号为7 的匹配命令
[r2]acl name classroom-A 2001  //名为classroom-A的ACL,编号为2001;
在创建ACL时,可以通过命名来标记策略应用的位置,这样在查看时方便

切记:在路由器一个接口的一个方向上只用调用一张ACL列表;

Acl编写完成后,必须在相应的位置调用时,方可生效;即使已经调用,若同时删除了ACL;那么调用无效;

[r2-GigabitEthernet0/0/0]traffic-filter ?
  inbound   Apply ACL to the inbound direction of the interface 入方向
  outbound  Apply ACL to the outbound direction of the interface  出方向
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

5、扩展ACL配置

关注源/目标IP地址,目标端口号或协议号;由于扩展ACL对流量进行精确的匹配,故可避免误删,因此调用时尽量靠近源;

5.1、仅关注源、目ip地址

[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
                                       源ip地址                             目标ip地址
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  接口调用

5.2、在关注源、目ip地址的同时,再关注目标端口号

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
//拒绝源ip地址192.168.1.10对目标ip地址192.168.1.1的目标端口为23的TCP通讯行为—telnet被拒绝
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0
//
绝源IP地址192.168.1.10对目标192.168.1.1的ICMP—ping
再上接口调用

扩展acl:telnet远程登录 , 基于TCP的23端口工作
条件:1、登录与被登录设备间必须可达(通)
2、被登录设备,开启telnet设定;

[r1]aaa  进入AAA服务 
[r1-aaa]local-user panxi privilege level 15 password cipher 123456 
 //账号panxi,权限0-15,数值越大权限越大,密码123456
[r1-aaa]local-user panxi service-type telnet  //该账户用来远程登录

创建账号panxi,密码123456;该账号只能用于远程登录;

[r1]user-interface vty 0 4  //vty是远程登录接口,有很多,0-4是打开0-4这5个接
口,这样可以允许5个人同时通过该接口使用Telent
[r1-ui-vty0-4]authentication-mode aaa //认证模式是aaa,即当有人要通过vty接口
进行远程登录时,需要aaa认证

注意:一定是在被登录设备上配置

MonsterKnight
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL 应用之Telnet
qq_36963043的博客
06-27 2020
ACL 应用之Telnet 4.1 问题 如图配置IP地址,配置路由,确保各设备互通 拒绝 R1 远程管理 R3 仅允许 192.168.1.254 远程管理 R2 其他流量均可以互通 4.2 方案 搭建实验环境,如图-4所示。 图-4 4.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - Client 1 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 2)配置终端设备 – Client 2 地址:192.168.2.1
telnet成功_网络安全访问控制列表ACL控制telnet登录,一分钟了解下
weixin_39720662的博客
11-21 904
一、需求 1.路由器名为:cisco1、cisco2; 2.cisco1的S0端口与cisco2的S0端口相连,IP地址如图所示,在cisco2上设置特权密码为cisco,线路密码为cisco; 3.从cisco1使用PING命令测试到cisco2的连通性,结果可达,但却不可以 TELNET到cisco2。二、拓扑三、步骤有两种方法实现方法一:使用扩展ACL1.检测基本配置cisco2(confi...
实验五、访问列表telnet访问控制
weixin_34414196的博客
11-10 339
环境:两台路由器由串口相连。要求:只允许R1的loop 1能ping 通R2的loop 0;并且在R2上做telnet访问控制,只允许R1的loop 0能够远程登录,不能使用deny语句。 步骤一、连通性配置 r1的配置:r1(config)#interface loopback 0r1(config-if)#ip address 10.1...
远程登录ACL
分享的都是纯自学心得
02-17 196
远程登录ACL
一个访问控制列表(ACL)加远程登录配置的cicso模拟器的实验
理小学生的博客
05-30 1353
拓扑图如图: 需求1:按照拓扑所示,配置IP底层,使直连设备可以通信。 略…… 需求2:使用动态路由协议OSPF使网络全网互通。 R1的配置: 命令:router ospf 10 network 202.100.1.0 0.0.0.255 area 0 network 202.100.4.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 其他路由器类似…… 需求3...
ACLTelnet
2302_78575222的博客
07-03 234
在R2配置基本ACL,允许源IP:192.168.1.254 远程登录R2 ,拒绝其他IP远程。在R2中配置去往192.168.1.0/24的静态路由,下一跳为192.168.12.1。在R3配置基本ACL拒绝源IP:192.168.1.254 远程登录R3。在R3配置基本ACL拒绝源IP:192.168.12.1 远程登录R3。在R3配置基本ACL,允许其他所有IP地址远程登录R3。第四步:在r3中3配置基本ACL。第三步:在R2中配置基本ACL。第二步:R2配置基本ACL。R1/R2开启远程,
ACL访问控制列表实验之限制用户远程登录和ping命令
Mi Qi
07-17 7653
ACL访问控制列表实验之限制用户远程登录和ping命令 一、实验要求 PC1可以telnet R1,不能ping 通R1 PC1可以ping R2,不能 talnet R2 PC2要求与PC1相反 二、实验说明 拓扑图中PC1与PC2用了路由器代替 三、实验思路 1.配置底层IP 2.配置路由全网可达 3.根据要求,策略思路,有两种方式 前提注意:在配置ACL时,每个接口的某一方向只能有ACL访问控制列表 否则,该接口出/入方向将只调用配置的最后一张表。 (1)第一种方式,ACL列表根据要求,先将允许条件
HCIA-Datacom(H12-811教程+实验手册+大纲)
04-10
HCIA-Datacom V1.0考试覆盖数通基础知识,包括TCP/IP协议栈基础知识,OSPF路由协议基本原理以及在华为路由器中的配置实现,以太网技术、生成树、VLAN原理、堆叠技术以及在华为交换机中的配置实现,网络安全技术以及...
华为HCIA-Security题库v3.0+刷题软件
12-22
华为HCIA-Security题库v3.0+刷题软件
HCIA-IoT+V2.5+培训文档与实验手册.rar
11-25
可能涉及加密技术、身份认证和访问控制等。 5. 实验操作:通过实验手册,学员可以学习如何配置物联网设备,建立网络连接,进行数据传输和处理,以及如何使用华为物联网平台进行设备管理和数据分析。 6. 案例分析:...
HCIA-Datacom V1.0 电子教材+教学实验手册+LAB脑图
02-06
HCIA-Datacom V1.0 是华为认证的初级数据通信课程,主要针对网络初学者和希望提升基础网络技能的专业人士。此课程涵盖了网络基础知识、网络设备、协议、网络搭建和故障排查等核心内容。H12-811 是与这个认证相关的...
华为HCIA进阶笔记:ACL 访问控制列表
06-20
华为HCIA基础实验 - 基本ACL & eNSP
telnet访问控制列表
weixin_33778544的博客
01-08 329
access-list 100 permit tcp any any eq telnet(或23)log access-list 100 permit tcp any any eq telnet log-input int s1 ip access-group 100 in access-list 100 permit tcp any any eq tel...
ACL权限 Telnet远程登录认证
qq_59701577的博客
08-11 1302
ACL权限 如图配置IP地址,配置路由,确保各设备互通 为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE 仅仅允许 192.168.1.254 远程登录 R2,其他设备不可以 拒绝 R1的任何IP地址远程登录 R3,其他设备都可以 1.配置终端设备 – 售后服务部 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 2)配置终端设备 – 行政部 地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254 3)配置
TelnetACL
NeverGUM的博客
08-03 3913
在一个三层交换机中,我们通常会启用多个VLANif,不知道细心的读者发现没,当Telnet服务开启的时候,且不做ACL访问控制,客户端可以通过每一个vlanif来进行telnet登录。 换言之,我三层交换机,有三个vlanif,分别是vlanif10,vlanif20,vlanif30,只要能和三个vlanif通信的客户端,都可以通过不同的vlanif进行登录交换机,这是我们不希望看到的。 那...
计算机网络acl远程控制,计算机网络基础——访问控制列表
weixin_39977136的博客
06-27 1115
访问控制列表——实现安全控制的方法一、访问控制列表概述1、访问控制列表(ACL):读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤2、访问控制列表的处理过程如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。3、访问控制列表的类型:标准...
CCNA实验之——访问控制列表telnet访问控制
weixin_33922672的博客
02-18 511
近来在家复习NA和NE的内容,今天正好有开始用blog(真是落伍了),顺手写批实验报告吧,也算对最近复习的总结,有什么不足希望“同志们”能及时指出,让我们在通往梦想的道路上前进,前进,再前进。。。那,废话不说了,开始了。 实验环境: R1基本配置: Router>enable Router#conf t Router(config)...
计算机网络和因特网
最新发布
刘大帅
07-02 548
计算机网络:自顶向下方法 第 1 章
hcia-datacom+v1.0+培训教材密码
09-24
HCIA-Datacom V1.0培训教材主要涵盖了数据通信基础知识、华为数据通信产品技术知识和实践操作等方面的内容。为了确保培训学员能够正常学习并具备必要的技能,教材内容是有限制的。因此,只有经过授权的学员可以获得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值