VLAN、ACL知识点总结
VLAN知识点总结
VLAN基础概念
- ACL:Access Control List,访问控制列表
- 作用:
1、实现访问控制
2、抓取感兴趣流量供其他技术调用 - 工作原理:
通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,让路由器对收到的流量基于表中规则执行动作–允许、拒绝 - ACL匹配规则:
至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。
就像是列一张表格,逐条对应表里的条例,对上一条就不会再对下面的内容。
- ACL的分类:
1、基本ACL:只能匹配数据包中的源IP地址
因为只能识别源IP,所以为了避免误删,调用时尽量靠近要求中的目标
INTEGER<2000-2999> Basic access-list(add to current using rules)
(参数为2000-2999为基础ACL)
2、高级ACL:可以识别数据包中的源、目IP地址,源、目端口号以及协议号
因为可以识别的更精确,所以调用时尽量靠近源
INTEGER<3000-3999> Advanced access-list(add to current using rules)
(参数为3000-3999为高级ACL) - 基础ACL的配置
命令 | 意义 |
[r2]acl 2000 | 创建ACL 2000 |
[r2-acl-basic-2000]rule(数字或不填) deny source 172.16.0.30 0 | 拒绝单个IP |
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 | 拒绝一个范围(网段) |
[r2-acl-basic-2000]rule deny source any | 拒绝所有 |
[r2-GigabitEthernet0/0/1]traffic-filter outbound(出)/inbound(进) acl 2000 | 接口调用ACL |
注:动作可以换成permit(允许)
接口调用ACL不管在高级还是基础都需要
括号位置填写数字
- 高级ACL配置
命令 | 意义 |
[r1]acl 3000 | 创建ACL3000 |
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23 | 设置禁止通过的IP可远程控制情况 |
[r1]acl name vlan10 basic/advance | 命名的配置方式 |
[r1]display acl all | 查看所有的ACL列表 |
[r1-acl-adv-3000]rule deny imcp source 172.16.0.10 0 destination 172.16.0.1 0 | 设置禁止通过的IP可访问情况 |
source IP:源IP
destination IP:目标IP
destination-port:目标端口号
- 查看ACL列表
如果没有设置ACL数字则按照5+的模式来排列,就是为了方便中间好添加漏掉的条目。
在配置ACL规则时,设备会自动生成5+的序号来排序。可以基于序号添加和删除规则
Telnet服务:远程登录服务
命令 | 意义 |
[r1]user-interface vty 0 4 | 创建Telnet账户后共五个 |
[r1-ui-vty0-4]authentication-mode aaa | 使用用户名(aaa)密码的方式 |
[r1]aaa | 进入创建密码模式 |
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234 | 创建用户名及密码(1-15代表可开启权限) |
