ACL

ACL Access list  访问控制列表（策略列表）

功能：

访问限制 --- 在路由流量仅或出的接口上匹配流量，之后对其进行控制。

抓取流量 --- 帮助其他策略抓出对应流量

ACL 的限制手段：拒绝 deny           允许 permit

分类：

标准ACL （2000 - 2999）：通过源IP进行匹配。使用时尽量靠近目标，避免误伤。

扩展ACL （3000 - 3999）：通过源目IP，源目端口号，协议号五个要素进行匹配，使用时尽量靠近源，不能在源之上。

ACL不能过滤自身产生的流量，只能对经过的流量进行操作。

匹配规则

自上而下逐一匹配，上条匹配到按上条执行，不再查看下一条。

Cisco 末尾隐含拒绝所有。（不写规则就执行默认 就全部拒绝）。rule peimit source any 修改为允许所有

华为 末尾隐含允许所有，部分设备拒绝所有。

配置方法

1 编号

acl 2000          创建编号为2000的acl

rule deny source 192.168.1.1 0.0.0.0          拒绝源IP为192.168.1.1 的流量 后四个0是通配符

规则 拒绝   源         IP地址      通配符

int g 0/0/0         进入接口

traffic-filter inbound acl 2000        调用

2 命名 （设备仍会给一个默认序号 从2999开始逐一递减）

acl name wuhu basic（不加basic是创建扩展acl，序号从3999开始递减）

rule permit source 192.168.1.1 0                允许源IP为192.168.1.1 的流量  0 是0.0.0.0 的简写

int g 0/0/0

traffic-filter inbound acl name wuhu

通配符

ACL里面的通配符可以0 1 穿插使用。0不可变，1 可变。例如 0.255.0.255。

OSPF里面使用的是反掩码，必须是连续的0 或 1 组成，上面这种在反掩码里面无效。

rule permit source 1.1.1.1   0.0.0.0        允许一个ip

rule permit source 1.1.1.0   0.0.0.0        允许路由

rule permit source 192.168.1.0         0.0.6.0         允许 192.168.1.0，192.168.3.0，192.168.5.0，192.168.7.0 这四个网段

如上图所示，变化的只有 倒数第二和第三的数 。把它们加起来就是 6 。6代表这两个位置的数字可变。所以最后就是这四个网段。

 

序号

 rule 后面的 5 就是序号，默认以5为步调递增，便于插入规则。序号也方便删除。

插入规则：

rule 9 permit source 192.168.2.10 0

示例

 未配置acl前全网可达

pc1 不能访问pc3，pc4

[AR2]acl name wuhu basic 
[AR2-acl-basic-wuhu]rule deny source 192.168.1.2 0.0.0.0

[AR2]int g 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl name wuhu

这样一来 pc1不能访问pc3 和pc4 。因为在AR2 的 0/0/1 接口把pc1 的流量全部拒绝了。

pc2 能访问pc3 但不能访问pc4

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0

[AR1]int g 0/0/1      	
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

 

telnet

telnet需要满足以下要求的

1. 登陆设备与被登陆设备可以正常通信
2. 被登陆设备开启远程登录服务 telnet  enable

telnet命令只能在用户视图下使用

配置命令

aaa  进入3a模式

local-user wuhu password cipher 123  创建wuhu用户 设置密码

local-user wuhu server-type telnet       设置wuhu用户用来远程登录

local-user wuhu privilege level 15        设置wuhu账号权限

默认为1级 只能以用户视图模式登录  15是超级管理员 ，登录后什么都能做

telnet server enable 开启被登录设备远程登录功能

vty 虚拟登录接口

user-interface vty 0 4   虚拟登录接口调用（范围0-4   16-20 一共十个）表示选择0-4虚拟接口，可以让五个人同时登录  

authentication-mode aaa  启用aaa验证

authentication-mode 常见的配置参数有三种

1、authentication-mode aaa或authentication-mode scheme
创建本地用户并启用AAA验证。

2、authentication-mode password 
直接在user-interface vty 下用passrod设置密码

3、authentication-mode none
远程维护登陆不需要密码

scheme是组合的意思.就是组合认证方式,即输入:用户名+密码认证..
1.进入用户界面：user-interface 0 4  （和思科里面的VTY一样，0 4是指可以有5个用户会话同时连接，0,1,2,3,4 ）
2.设置认证模式为组合模式（用户名加密码）：Authenticate-mode scheme
3.建立本地用户名:local-user 用户名,
4.设置用户密码:password simple 密码...
5.设置访问服务类型为telnet：service-type telnet
6.设置授权访问级别：level 3

示例

[AR1]aaa
[AR1-aaa]local-user wuhu password cipher 123
Info: Add a new user.
[AR1-aaa]local-user wuhu service-type telnet 
[AR1-aaa]local-user wuhu privilege level 15
[AR1-aaa]q
创建wuhu用户 设置为telnet 权限等级 15

[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]authentication-mode aaa
创建虚拟登陆接口 0-4（同时可五人登录）
启用aaa验证

测试