第十一天
ACL ---- 访问控制列表
ACL的作用:
1, 访问控制: 在路由器流量流入或流出的接口上, 匹配流量, 然后 执行设定好的动作。 ---- permit 允许 , deny 拒绝
2, 抓取感兴趣流: ACL可以和其他服务结合使用。ACL只负责匹配流 量, 其他服务则对匹配上的流量执行对应的动作。
ACL的匹配规则: 自上而下, 逐一匹配, 如果匹配上, 则按照对应的动作 执行, 不再向下匹配。
思科体系的设备: 在ACL列表末尾隐含一条拒绝所有的规则
华为体系的设备: 在ACL列表末尾隐含一条允许所有的规则
ACL列表的分类
基本ACL --- 仅关注数据包中的源IP地址
高级ACL --- 不仅关注数据包中的源IP地址, 还会关注数据包中的目 标IP地址, 以及协议和目标端口号
二层ACL
用户自定义ACL
需求一: PC1可以访问PC3和PC4, 但是PC2不行
基本ACL的位置原则: 因为基本ACL只关注数据包中的源IP地址, 故调用时 尽可能的靠近目标, 避免对其他地址访问造成误伤。
1, 创建一张ACL列表 [r2]acl ?
INTEGER<2000-2999> rules)
---- 基本ACL
INTEGER<3000-3999> rules)
----- 高级ACL
Basic access-list(add to current using
Advanced access-list(add to current using
INTEGER<4000-4999> Specify a L2 acl group
---- 二层ACL
ipv6
name
number
ACL IPv6
Specify a named ACL
Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
2, 在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 --- 通配符 --- 0代表不可变, 1代表可变 --- 通配符中0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2]display acl 2000
华为默认以5为步调, 自动添加ACL的规则的序号。其目的在于匹配规 则是从上向下按顺序匹配, 这样便于在其中插入规则。
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自 定义序号添加规则
[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则
3, 在接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 注意: 在一个接口的一个方向上, 只能调用一张ACL列表。
需求二: 要求PC1可以访问PC3, 但是不能访问PC4
高级ACL的位置原则: 因为高级ACL是精准匹配, 不会造成误伤, 所以, 在 调用时应该尽量靠近源目标, 避免造成额外的链路资源浪费。
[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表 [r1-acl-adv-aa]
[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa --- 通过重命名的方式调用ACL列表
需求三: 要求PC1可以ping通R2, 但是不能telnet R2
telnet --- 远程登录协议
带外管理 --- 通过console接口连接console线对设备进行控制
---- 通过miniUSB接口连接MINIUSB线对设备进行控制 带内管理 --- 通过telnet管理路由器
--- 通过web界面管理路由器
--- 通过SNMP协议进行设备管理
telnet进行管理的前提条件
1, 登录设备和被登录设备之间网络必须时联通的
2, 被登录设备必须开启telnet服务
telnet ---- C/S架构 --- 被登录设备充当telnet服务器的角色, 登 录设备充当telnet客户端的角色。 ---- TCP 23
路由器开启telnet服务的方法:
1, 在AAA中创建用户名
[r2]aaa ---- 进入aaa服务
[r2-aaa]
[r2-aaa]local-user aa privilege level 15 password cipher 123456
Info: Add a new user.
[r2-aaa] --- 创建用户名和密码
[r2-aaa]local-user aa service-type telnet --- 设置用户服务类 型
2, 开启虚拟的登录端口
[r2]user-interface vty 0 4
[r2-ui-vty0-4]
[r2-ui-vty0-4]authentication-mode aaa
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23