目录
一,作用:
1.访问控制列表---在流量经过路由器的进或出接口上,匹配流量后产生动作---路由器允许经过,或拒绝经过的能力
2.定义感兴趣的流量--为其他的策略或协议提供帮助
二,匹配规则
自上而下,逐一匹配,上条匹配则不再向下匹配
华为默认ACL列表末尾隐含一条允许所有(不做处理)
思科默认ACL列表末尾隐含一条拒绝所有
三,ACL的分类:
1.基础的ACL:
解释:由于标准ACL仅关注数据包中的源IP地址 故在调用时,尽量靠近目标的端口,避免误删,
一个编号为一张表;一个路由器可以创建多张表;但一个接口的一个方向只能调用一张表
问题1:pc1不能访问192.168.3.0 网段 pc2 可以访问
创建编号为2000的acl的列表,2000-2999编号均为基础acl,
[r2]acl 2000
[r2-acl-basic-2000][r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0(也可以直接写0)
[r2-acl-basic-2000]rule permit source any
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
动作(允许或拒绝) 源ip地址 可以使用通配符,也可以为所有
ACL在编写完成后,需要调用方向才能真正生效
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
注意:ospf所有的是反掩码,acl使用的通配符 , 通配符可以允许0和1穿插使用,ospf反掩码不允许只能连续的0或1
2.扩展ACL
由于扩展ACL精确的匹配了流量和目标地址,故调用时尽量靠近源头,避免流量的浪费
问题2:pc1可以访pc4,但不能访问pc3
1.仅关注源,末ip地址的 3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
协议 源IP 目标ip无论源或目标ip地址,均可以使用any 或通配符自定义范围
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用2.关注源,末ip地址,同时关注目标端口号,协议
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 接口调用
配置效果为:拒绝Tcp服务下源IP地址 192.168.1.10对目标ip的地址 192.168.1.1,同时目标端口号为23的访问--拒绝了telnet
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3002 接口调用
配置效果为:拒绝192.168.1.10对目标ip的地址 192.168.1.1的icmp访问---拒绝了ping
四,telent服务
远程登陆服务 基于TCP的目标端口号23
telent就是终端设备通过网络环境远程管理配置设备的服务
条件:终端和服务端网络可达,同时被登陆设备开启了远程登陆服务
路由器上配置远程登陆的命令:
(1)创建账号wangzhengdao 密码123456
[r1]aaa
[r1-aaa]local-user wangzhengdao privilege level 15(等级权限) password cipher 123456
Info: Add a new user.
[r1-aaa]local-user wangzhengdao service-type telnet 账号是干什么:telnet服务[r1-aaa]qu
(2)调用账号 可以同时有5个人登陆
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa(3)使用路由器远程登陆另一台路由器
<r2> telent 192.168.1.1