ACL -- 访问控制列表
ACL的作用
ACL的匹配规则
思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则
华为体系的设备:在ACL列表末尾隐含一条允许所有的规则
ACL列表的分类
基本ACL -- 仅关注数据包中的源IP地址
高级ACL -- 不仅关注数据包中的源IP地址,还会关注数据包中的目标IP地址,以及协议和目标端口号
二层ACL
用户自定义ACL
需求一:PC1可以访问PC3和PC4,但是PC2不行
基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时尽可能的靠近目标,避免对其他地址访问造成误伤
创建一张ACL列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules) -- 基本ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) --高级ACL
INTEGER<4000-4999> Specify a L2 acl group -- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
0.0.0.0为通配符,0代表不可变,1代表可变
通配符比反掩码更加灵活,0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any -- 允许所有
查看ACL列表
[r2]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.3 0
rule 10 permit
华为默认以5为步调,自动添加ACL的规则的序号,其目的在于匹配规则是从上向下按顺序匹配,这样便于在其中插入规则
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 -- 自定义序号添加规则
[r2-acl-basic-2000]undo rule 6 -- 按照序号删除规则
在接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
注意:在一个接口的一个方向上,只能调用一张ACL列表
需求二:要求PC1可以访问PC3,但是不能访问PC4
高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤。所以,在调用时应该尽量靠近源目标,避免造成额外的链路资源浪费
[r1]acl name aa 3000 -- 通过重命名的方式创建ACL列表
[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa -- 通过重命名的方法调用ACL列表
需求三:要求PC1可以ping通R2,但是不能talent R2
talenet -- 远程登录协议
带外管理 -- 通过console接口连接console线对设备进行控制
通过miniusb接口连接miniusb线对设备进行控制
带内管理 -- 通过talnet管理路由器
通过web界面管理路由器
通过SNMP协议进行设备管理
telnet进行管理的前提条件
登录设备和被登录设备之间网络必须是联通的
被登录设备必须开启telnet服务
telnet -- C/S架构 -- 被登录设备充当telnet服务器的角色,登录设备充当telnet客户端的角色
TCP23号端口
路由器开启talnet服务的方法
在aaa中创建用户名
[r2]aaa -- 进入aaa服务
[r2-aaa]local-user aa privilege level 15 password cipher 123456
Info: Add a new user. -- 创建用户名和密码
[r2-aaa]local-user aa service-type telnet -- 设置用户服务类型
开启虚拟的登录端口
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa