华为HCIA认证考试ACL原理与基本配置方法
我畏时光
本文讲述了华为HCIA认证考试ACL原理与基本配置方法。分享给大家供大家参考,具体如下:
HCIA---ACL
目录
基本概念
ACL:Access Control List,访问控制列表。是一种策略工具。
作用:
(1)实现访问控制
(2)抓取感兴趣流量供其他技术调用
工作原理
通过在路由器上手工定义一张 ACL 列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,让路由器对收到的流量基于表中规则执行动作—允许或者拒绝。
ACL 匹配规则
1.至上而下按照顺序依次匹配,一旦匹配中流量,则立即执行,不再查看下一条。
2.末尾隐含同意所有。
ACL 的分类
基本 ACL:范围 2000 – 2999
只能匹配数据包中的源 IP 地址。
高级 ACL:范围 3000 – 3999
可以识别数据包中的源、目 IP 地址,源、目端口号以及协议号。
PS:
1.基本 ACL 因为只能识别源 IP,所以为了避免误删,调用时尽量靠近要求中的目标。
2.高级 ACL 因为可以识别的更精确,所以调用时尽量靠近源。
3.ACL 不能过滤自身产生的流量。
ACL 基本配置
[r2]acl ? //查看 ACL 的类别与范围
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
[r2]acl 2000 //创建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0 //拒绝单个IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 //拒绝一个范围(网段)
[r2-acl-basic-2000]rule deny source any //拒绝所有
PS:动作可以换成 permit ,表示同意。
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //接口调用ACL
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23
[r1]acl name vlan10 basic/advance //命名的配置方式
[r1]display acl all //查看所有的ACL列表
PS:在配置 ACL 规则时,设备会自动生成5+的序号来排序。可以基于序号添加和删除规则。
Telnet 服务
Telnet:远程登录服务
基于 TCP 23 端口工作,基于C/S架构
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa //使用用户名密码的方式
[r1]aaa
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234