基本概念

1.访问控制: 在路由器的入或者出的接口上，匹配流量，之后产生动作，只有允许和拒绝。

2.定义感兴趣流量: 帮助其他策略抓流量的

匹配规则:至上而下 逐一匹配 上条匹配按照上条执行 不再查看下条

        (思科体系中 末尾隐含拒绝所有 华为体系中 末尾隐含允许所有)

3.分类:

标准----仅关注数据包中的源IP地址

扩展----关注数据包中的源IP地址  目标IP地址  协议号 端口号 协议名称

标准ACL配置:

由于标准ACL仅关注数据包中的源IP，故调用时尽量靠近目标为最佳，避免源IP设备对其他地址的访问被误删。

2000-2999 标准ACL标号

3000-3999 扩展ACL标号

注意: 一个编码是一张规则，一张规则内可以容纳大量的具体规则

[R7]acl 2000  创建标准acl其编号为2000

[R7-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 
 
规定拒绝源IP为192.168.1.2 通配符为0.0.0.0

ACL的通配符与OSPF反掩码的匹配规则是相同的

ACL的通配符可以进行0/1穿插

[R7-acl-basic-2000]rule permit souce any 规定允许所有源IP

[R7]display acl 2000 查询acl2000这张表

[R7]interface g0/0/1 进入需要调用acl表的接口

[R7-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

在该接口出方向上调用acl2000

切记:一个接口的入或出方向上只能调用一张acl表

inbound:进入方向    outbound:出方向

[R7]acl name classroom-A 2001 更改名称

扩展ACL

1.仅关注源IP和目标IP地址

(由于扩展ACL对流量进行了精确的匹配，故可以避免误杀，因此，调用时，尽量靠近源为最佳)

[R6]acl 3000 创建扩展acl  编号为3000

[R6-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

规定拒绝源192.168.1.2 向目标IP192.168.3.2的IP协议行为

[R6-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

在该接口上调用acl3000

2.在关注源IP 目标IP地址的同时 再关注目标端口号

Telnet 远程登录 基于TCP 23 号端口条件:

a.登录与被登录设备之间必须可达

b.被登录设备开启telnet设定

 

[R6]aaa  开启aaa服务

[R6-aaa]local-user MXY privilege level 15 password cipher 123456 

创建一个名为MXY的账户，其权利等级为15 密码为123456

[R6-aaa]local-user MXY service-type telent 定义MXY这个账号类型为telent

[R6]user-interface vty 0 4 

vty 相当于虚拟通道，该命令意味创建0至4共五个虚拟通道

[R6-ui-vty0-4]authentication-mode aaa 定义该虚拟通道0-4 服务于aaa

<PC>telent 192.168.1.1 远程登录192.168.1.1 这个节点所在的设备 

切记:密码不可见

[R6-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0
destination-port eq 23
规定拒绝TCP协议中源 192.168.1.10 向目标192.168.1.1的端口号为23的行为

[R6-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0

规定拒绝源192.168.1.10向目标192.168.1.1的icmp行为(ping=icmp)