ACL访问控制列表
1、访问控制:在路由器流量进或出的接口上匹配流量,之后进行控制
2、定义感兴趣流量:ACL的限制手段--允许-permit 拒绝-deny
匹配规则:自上而下逐一匹配,上条匹配按上条进行,不再查看下条 Cisco在末尾隐含一条拒绝所有;华为在末尾隐含一条允许所有
ACL的分类
1、标准ACL:仅匹配流量中的源IP地址
2、拓展ACL:匹配流量中源/目标地址,目标端口号或者目标协议号
ACL的写法 1、编号 2、命名
命名
1、标准acl`因为只匹配流量中的源IP地址,故调用时为避免误删,尽量靠近目标`
acl 2000 #标准acl(2000-2999)为标准acl (3000-3999)为拓展acl
rule deny source 192.168.1.2 0.0.0.0 #拒绝192168.1.2的流量
rule deny source 192.168.2.0 0.0.0.255 #拒绝192.168.2.0网段的流量
插入一条
rule 7 permit source 192.168.2.10 0.0.0.0 #允许192.168.2.10的流量
默认以5为步调增加单条条目,便于增加条目un rule 7 #使用序号删除条目
acl name classroomB basic #使用命名方式新建一个acl列表
切记:acl定制完成后,必须到接口调用才能生效interface 接口
traffic-filter outbound acl 2000 #接口调用outbound 出方向 inbound 进方向
2、拓展acl`因为拓展acl可以清楚的靠近目标,故调用时建议尽量靠近源`
acl 3000 #创建拓展acl
rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0动作 协议 源 目标
interface 接口
traffic-filter inbound acl 3000 #接口调用
3、telnet远程登陆`基于tcp下23端口进行工作`
条件:
1、登录与被登录设备之间可以正常通讯
2、被登录设备开启远程登陆服务配置登陆用的账号密码
aaa
loacl-user 用户名 password cipher 密码 #创建账号密码
loacl-user 用户名 service-type telnet #该账号的功能
local-user 用户名 privileges level 15 #账号权限telnet server enable #开启远程登陆功能
user-interface vty 0 4 #虚拟登录接口调用认证
authentication-mode aaa