HCIA第十一天

已于 2023-02-27 10:05:39 修改
阅读量205 收藏
点赞数
文章标签: 华为 网络
于 2021-12-31 22:19:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52227549/article/details/122262994
版权
本文详细介绍了访问控制列表(ACL)的作用、匹配规则及其在思科和华为设备上的应用。通过示例展示了如何使用基本ACL和高级ACL实现特定的网络访问策略,包括限制PC1对PC3和PC4的访问,以及允许PC1访问PC3但禁止访问PC4。此外,还提及了带内管理与带外管理的概念,并讲解了启用telnet服务的步骤和注意事项。
摘要由CSDN通过智能技术生成

ACL -- 访问控制列表

ACL的作用

        1.访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 
                permit -- 允许,deny --拒绝
        2.抓取感兴趣流:ACL可以和其他服务结合使用,ACL只负责匹配流量,其他服务则对匹配上         的流量执行对应的动作

ACL的匹配规则

        自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配

 

思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则

华为体系的设备:在ACL列表末尾隐含一条允许所有的规则

ACL列表的分类

基本ACL -- 仅关注数据包中的源IP地址

高级ACL -- 不仅关注数据包中的源IP地址,还会关注数据包中的目标IP地址,以及协议和目标端口号

二层ACL

用户自定义ACL

  需求一:PC1可以访问PC3和PC4,但是PC2不行

基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时尽可能的靠近目标,避免对其他地址访问造成误伤

创建一张ACL列表

[r2]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules) -- 基本ACL
  INTEGER<3000-3999>  Advanced access-list(add to current using rules) --高级ACL
  INTEGER<4000-4999>  Specify a L2 acl group -- 二层ACL
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]

在ACL列表中添加规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

        0.0.0.0为通配符,0代表不可变,1代表可变

        通配符比反掩码更加灵活,0和1可以穿插使用

[r2-acl-basic-2000]rule permit source any -- 允许所有

查看ACL列表

[r2]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
 rule 5 deny source 192.168.1.3 0 
 rule 10 permit 

华为默认以5为步调,自动添加ACL的规则的序号,其目的在于匹配规则是从上向下按顺序匹配,这样便于在其中插入规则

[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 -- 自定义序号添加规则

[r2-acl-basic-2000]undo rule 6 -- 按照序号删除规则

在接口上调用ACL列表

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

注意:在一个接口的一个方向上,只能调用一张ACL列表

需求二:要求PC1可以访问PC3,但是不能访问PC4

高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤。所以,在调用时应该尽量靠近源目标,避免造成额外的链路资源浪费

[r1]acl name aa 3000 -- 通过重命名的方式创建ACL列表

[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa -- 通过重命名的方法调用ACL列表

需求三:要求PC1可以ping通R2,但是不能talent R2

talenet -- 远程登录协议

带外管理 -- 通过console接口连接console线对设备进行控制

                   通过miniusb接口连接miniusb线对设备进行控制

带内管理 -- 通过talnet管理路由器

                   通过web界面管理路由器

                   通过SNMP协议进行设备管理

telnet进行管理的前提条件

        登录设备和被登录设备之间网络必须是联通的

        被登录设备必须开启telnet服务

        telnet -- C/S架构 -- 被登录设备充当telnet服务器的角色,登录设备充当telnet客户端的角色

                TCP23号端口

路由器开启talnet服务的方法

在aaa中创建用户名

        [r2]aaa -- 进入aaa服务

        [r2-aaa]local-user aa privilege level 15 password cipher 123456
Info: Add a new user. -- 创建用户名和密码

        [r2-aaa]local-user aa service-type telnet -- 设置用户服务类型

开启虚拟的登录端口

        [r2]user-interface vty 0 4

        [r2-ui-vty0-4]authentication-mode aaa

        

菠萝丿君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HCLE网络安全11
qq_52661813的博客
12-28 295
ACL ---- 访问控制列表 ACL的作用: 1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后 执行设定好的动作。 ---- permit 允许 , deny 拒绝 2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流 量,其他服务则对匹配上的流量执行对应的动作。 ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作 执行,不再向下匹配。 思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则 华为体系的设备:在ACL列表末尾隐含一条允许所有的规则 ACL列表的分类
HCIA学习笔记——第一天
lovestudy007的博客
08-11 250
HCIA学习
三层交换机配置
mhgjddev的博客
01-17 165
现在是PC1与PC2可以通,与PC3无法通 此时在划分vlan及端口 每个vlan的接口ip 开启三层交换机的路由功能 所有PC皆可以ping得通
Hybrid接口的应用场景
xiaoxu11112的博客
09-30 351
Hybrid接口基于三个属性收发数据,在了解其工作原理的基础上,分析其工作过程。实验图,如下:pc端接口配置忽略。
ACL访问控制列表配置
http_lanan的博客
07-24 282
上图中PC1和PC2是由两个路由器代替的这两个路由器的网卡都需要配置缺省路由才能ping通。R1 PC2能ping通PC1ping不通,只允许PC1登录不允许PC2登录。R2 PC1能ping通PC2ping不通,只允许PC2登录不允许PC1登录。在远程登录的时候只能在用户视图界面远程登录。R1、R2 telnet配置。题目和ip配置如下图。
计算机网络——访问控制列表
TTTSEP9TH2244的博客
01-18 2846
一、 实验目的 1、理解访问控制列表的基本工作原理; 2、掌握标准 IP 访问控制列表的原理及其配置方法; 3、掌握扩展 IP 访问控制列表的原理及其配置方法; 二、实验仪器设备 Cisco 路由器、PC 机、直通双绞线、交叉双绞线、Cisco 配置线缆等。实验内容 三、实验过程 设置PC1、PC2、PC3、PC4的ip地址: PC1:10.1.1.25 255.255.255.0 10.1.1.1 PC2:10.1.2.25 255.255.255.0 10.1.2.1 PC3:10.1.3.2
ACL原理与配置
manyulanlanlu的博客
06-06 1343
2、匹配到第一条后续相同的将不再匹配,一个端口只能匹配一条策略,只能调用一个ACL方法,要配其他的·,必须删除原先的。虽然划分了vlan,但不是流量控制,只是单纯划分广播域,而且通过三层交换机或单臂路由可以实现不同vlan间的通信。3000~3999:高级ACL,可以匹配源ip地址,目标ip还可以匹配源端口号,目标端口还包括三层或四层的协议字段。结合其他协议(tcp/udp/http等)匹配范围,ACL可以控制协议的流量(数据包)是否通过。多条策略的匹配原则:1、有则匹配,无则放通。
ACL 配置实例学习记录
业余幻想家的博客
07-15 1192
ACL 配置实例
华为路由交换学习文档HCIA-第11天内容 华为认证考试培训资料.pptx
最新发布
05-13
1. **HCIA(Huawei Certified ICT Associate,华为认证ICT工程师)**:这是华为认证的基础级别,旨在培养和认证初级ICT工程师,帮助他们掌握基础的ICT技术和产品知识。 2. **HCIP(Huawei Certified ICT ...
HCIA第一课,第二课笔记
03-27
### HCIA第一、二课知识点总结 #### 一、OSI七层模型及各层功能 **1. 应用层** - 功能:提供应用程序之间的接口,支持用户应用程序和服务之间的交互。 - 示例:HTTP、FTP、SMTP。 **2. 表示层** - 功能:处理数据...
新版华为HCIA全套学习笔记
09-28
HCIA·第一堂课ENSP与初探网络.pdf HCIA·第七堂课作业讲解及四种ARP类型.pdf HCIA·第三堂课OSI的七层模型(网—应用层).pdf ... HCIA·第十一堂课OSPF五种数据包DRBDR选举及配置.pdf HCIA·第十七堂课·D
HCIA第一天作业
lovestudy007的博客
08-11 922
HCIA学习
ACL应用及其配置 (访问控制列表
Kiro君的博客
12-09 1万+
ASL及其配置什么是ASL? 什么是ASL?
ACL允许某个网段的用户访问
salmonwilliam的博客
12-25 2906
R1(config)# access-list 1 deny host 192.168.20.1 R1(config)# access-list 1 deny host 192.168.20.5 R1(config)# access-list 1 permit 192.168.20.0 0.0.0.255 R1(config)# interface e0 R1(config-if)# ip ...
华为ACL原理及配置
张麟的博客
09-08 5186
华为ACL原理及配置
acl访问控制列表
jhy1798807161的博客
03-22 1386
作用:1访问控制列表(ACL)读取第三层,第四层包头协议,根据预先定义好的规则对包进行过滤。要么放行要么丢弃。2结合其他协议,用来匹配范围。根据通信五元素来实现具体的匹配1 访问控制列表在接口应用的方向2 事先在一个接口定义好相关的规则,然后根据相关的规则去处理经过这个接口的数据包,最终结果要么放行要么丢弃。基本acl(2000-2999)只能匹配源IP地址高级acl(3000-3999)可以匹配源ip,目标IP,源端口,目标端口等三层和四层的字段和协议)
华为eNSP配置专题-ACL的配置
日拱一卒的博客
10-16 1369
华为eNSP配置专题-ACL的配置
华为ensp.访问控制列表(ACL):关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问
热门推荐
m0_52479012的博客
01-02 1万+
ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定。 访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针对不同的报文进行不同处理,从而可以实现对网络访问的控制.限制网络流量,提高网络性能,为了防止网络攻击等等。 ACL分类 分类 编号范围 参数 基本ACL 2000-2999 源IP地址等 高级ACL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值