深圳创建网站,北欧风格装修效果图,唐山论坛建站模板,石大网页设计与网站建设客观题ACL#xff1a;访问控制列表
在路由器流量进或出接口上#xff0c;匹配流量产生动作-- 允许 拒绝 #xff08;访问限制#xff09;定义感兴趣流量--- 匹配流量后#xff0c;将流量提交给其他的协议进行策略 匹配规则#xff1a;
至上而下逐一匹配#xff0c;上条匹配按…ACL访问控制列表
在路由器流量进或出接口上匹配流量产生动作-- 允许 拒绝 访问限制定义感兴趣流量--- 匹配流量后将流量提交给其他的协议进行策略 匹配规则
至上而下逐一匹配上条匹配按上条执行不再查看下条
在思科系设备中表格末尾含义一条拒绝所有的规则
在华为系设备中表格末尾含义一条允许所有的规则 分类
标准ACL --- 仅关注数据包中的源ip地址扩展ACL --- 关注数据包中的源、目标ip地址同时可以再关注协议号或目标端口号 配置命令
【1】标准ACL --- 由于其仅关注数据包中源ip地址因此到调用时应该尽量的靠近目标避免误删除流量
[r2]acl 2000 创建ACL列表2000 2000-2999为标准ACL一个编号为一张大表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
[r2-acl-basic-2000]rule deny source any
在编辑具体时使用通配符进行匹配通配符和OSPF的反掩码匹配规则一致但区别在于通配符支持0和1混编
[r2]display acl 2000
编写时协议自动以5为步调添加序列号便于删除和插入
[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255 使用序列号插入
[r2-acl-basic-2000]undo rule 7 删除 只有到ACL被调用后方可工作在路由器的流量进或出接口调用一个接口的一个方向上只能调用一张表
[r2]interface g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ? 调用时一定注意方向 inbound Apply ACL to the inbound direction of the interface outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 【2】扩展ACL -- 由于扩展acl精确匹配目标和源故调用时尽量靠近源
仅针对源、目标ip地址
[r1]acl 3000 编号3000-3999为扩展列表
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination any 协议 源ip地址 目标ip地址
无论源还是目标ip地址的部分均可使用通配符匹配一个ip或一个范围或any [r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 针对源、目标ip地址加目标端口号
目标端口号用于对应具体的服务协议比如我访问http服务器时目标ip地址为该服务器ip传输基于TCP目标端口为80号在访问该服务器时若目标端口修改为21那么实际该访问该服务器FTP服务---访问相同目标ip地址但不同的目标端口实际在访问不同的服务了
[r1-acl-adv-3002]rule deny tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23 协议 源ip 目标ip 目标端口号
限制源ip地址192.168.1.4对目标ip地址192.168.1.1同时传输层协议为tcp且目标端口号为23的流量 [r1-acl-adv-3003]rule deny icmp source 192.168.1.4 0 destination 192.168.1.1 0
限制源ip地址192.168.1.4对目标ip地址192.168.1.1的icmp访问--限制ping Telnet 远程登录用于终端设备远程登录网络设备在线进行配置和管理
Telnet 服务基于TCP23号端口工作也就是说在访问目标ip地址时若传输层使用tcp且目标端口号23那么便是在进行telnet登录
开启网络设备的远程登录
登录与被登录设备ip可达被登录设备设置了登录的账号秘钥
[r1]aaa 进入aaa服务该服务用于管理账号信息
[r1-aaa]local-user panxi privilege level 15 password cipher 123456 账号 权限 秘钥
[r1-aaa]local-user panxi service-type telnet 定义账号功能
[r1-aaa]q [r1]user-interface vty 0 4 再在VTY远程登录虚拟接口上调用aaa服务
[r1-ui-vty0-4]authentication-mode aaa r2telnet 192.168.1.1
