云计算---HCIA第十一天

ACL --- 访问控制列表

ACL的作用:

1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。 --- permit 允许, deny 拒绝

2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。

ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。

 

思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则

华为体系的设备:在ACL列表末尾隐含一条允许所有的规则

 

ACL列表的分类

基本ACL --- 仅关注数据包中的源IP地址

高级ACL --- 不仅关注数据包中得到源IP地址,还会关注数据包中的目标IP地址,以及协议号和目标端口号。

二层ACL

用户自定义ACL

需求一:PC1可以访问PC3和PC4,但是PC2不行

基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时尽可能的靠近目标,避免对其他地址访问造成误伤。

1,创建一张ACL列表

acl <num>

num:

2000-2999 --- 基本ACL

3000-3999 --- 高级ACL

4000-4999 --- 二层ACL

进入acl视角

2,在ACL列表中添加规则

rule deny source  <ip地址/any(所有)> <通配符> ---通配符 --- 0代表不可变,1代表可变 --- 通配符中 0和1可以穿插使用。

rule permit source any --- 允许所有(华为末尾隐含)

display acl <num> --- 查看ACL列表

华为默认以5位步调,自动添加ACL的规则的序号。其目的在于匹配规则是从上向下按顺序匹配,这样便于在其中插入规则。

rule <id> deny/permit …… --- 自定义序号添加规则。

undo rule <id> --- 按照序号删除规则

3,在接口上调用ACL列表

【接口视角】traffic-filter outbound(流出)/inbound(流入) acl <num>

注意:在一个接口的一个方向上,只能调用一张ACL列表。

需求二:要求PC1可以访问PC3,但是不能访问PC4

高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤,所以,在调用时应该尽量靠近源目标,避免造成额外的链路资源浪费。

acl name <name> <num> --- 通过重命名的方式创建一个ACL的列表。

rule deny <协议> source <ip> <通配符> destination <ip> <通配符>

调用列表

traffic-filter inbound acl name <name> --- 通过名字调用ACL。

需求三:要求PC1可以ping通R2,但是不能telnetR2

telnet --- 远程登录协议

带外管理 --- 通过console接口连接concole线对设备进行控制

      --- 通过miniUSB接口连接MINIUSB线对设备进行控制

带内管理 --- 通过telnet协议管理路由器

      --- 通过web界面管理路由器

      --- 通过SNMP协议进行设备管理

telnet进行管理的前提条件

1,登录设备和被登陆设备之间网络必须是联通的

2,被登录设备必须开启telnet服务

telnet --- C/S架构 --- 被登陆设备被充当telnet服务器的角色,登录设备充当telnet客户端的角色。 --- TCP 23

路由器开启telnet服务:

1,在AAA中创建用户名

[r2]aaa --- 进入aaa服务

创建用户名和密码local-user <user name> privilege level 15 password cipher <password>

设置用户服务类型 --- local-user <user name>  service-type telnet

2,开启虚拟的登录端口

【在系统视角】user-interface vty 0 4 --- 同时开起0,1,2,3,4 端口(能够同时登录的数量)

【在虚拟端口视角】authentication-mode aaa --- 认证

拒绝telnet服务

rule deny tcp source <> <> <> <> destination-port(目标端口) eq <23>

看需求要看全面

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值