ACL --- 访问控制列表
ACL的作用:
1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。 --- permit 允许, deny 拒绝
2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。
ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。
思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则
华为体系的设备:在ACL列表末尾隐含一条允许所有的规则
ACL列表的分类
基本ACL --- 仅关注数据包中的源IP地址
高级ACL --- 不仅关注数据包中得到源IP地址,还会关注数据包中的目标IP地址,以及协议号和目标端口号。
二层ACL
用户自定义ACL
需求一:PC1可以访问PC3和PC4,但是PC2不行
基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时尽可能的靠近目标,避免对其他地址访问造成误伤。
1,创建一张ACL列表
acl <num>
num:
2000-2999 --- 基本ACL
3000-3999 --- 高级ACL
4000-4999 --- 二层ACL
进入acl视角
2,在ACL列表中添加规则
rule deny source <ip地址/any(所有)> <通配符> ---通配符 --- 0代表不可变,1代表可变 --- 通配符中 0和1可以穿插使用。
rule permit source any --- 允许所有(华为末尾隐含)
display acl <num> --- 查看ACL列表
华为默认以5位步调,自动添加ACL的规则的序号。其目的在于匹配规则是从上向下按顺序匹配,这样便于在其中插入规则。
rule <id> deny/permit …… --- 自定义序号添加规则。
undo rule <id> --- 按照序号删除规则
3,在接口上调用ACL列表
【接口视角】traffic-filter outbound(流出)/inbound(流入) acl <num>
注意:在一个接口的一个方向上,只能调用一张ACL列表。
需求二:要求PC1可以访问PC3,但是不能访问PC4
高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤,所以,在调用时应该尽量靠近源目标,避免造成额外的链路资源浪费。
acl name <name> <num> --- 通过重命名的方式创建一个ACL的列表。
rule deny <协议> source <ip> <通配符> destination <ip> <通配符>
调用列表
traffic-filter inbound acl name <name> --- 通过名字调用ACL。
需求三:要求PC1可以ping通R2,但是不能telnetR2
telnet --- 远程登录协议
带外管理 --- 通过console接口连接concole线对设备进行控制
--- 通过miniUSB接口连接MINIUSB线对设备进行控制
带内管理 --- 通过telnet协议管理路由器
--- 通过web界面管理路由器
--- 通过SNMP协议进行设备管理
telnet进行管理的前提条件
1,登录设备和被登陆设备之间网络必须是联通的
2,被登录设备必须开启telnet服务
telnet --- C/S架构 --- 被登陆设备被充当telnet服务器的角色,登录设备充当telnet客户端的角色。 --- TCP 23
路由器开启telnet服务:
1,在AAA中创建用户名
[r2]aaa --- 进入aaa服务
创建用户名和密码local-user <user name> privilege level 15 password cipher <password>
设置用户服务类型 --- local-user <user name> service-type telnet
2,开启虚拟的登录端口
【在系统视角】user-interface vty 0 4 --- 同时开起0,1,2,3,4 端口(能够同时登录的数量)
【在虚拟端口视角】authentication-mode aaa --- 认证
拒绝telnet服务
rule deny tcp source <> <> <> <> destination-port(目标端口) eq <23>
看需求要看全面