标签：10 aaa 04 HCIA 192.168 acl telnet user wuhu

ACL

ACL Access list  访问控制列表（策略列表）

功能：

访问限制 --- 在路由流量仅或出的接口上匹配流量，之后对其进行控制。

抓取流量 --- 帮助其他策略抓出对应流量

ACL 的限制手段：拒绝 deny           允许 permit

分类：

标准ACL （2000 - 2999）：通过源IP进行匹配。使用时尽量靠近目标，避免误伤。

扩展ACL （3000 - 3999）：通过源目IP，源目端口号，协议号五个要素进行匹配，使用时尽量靠近源，不能在源之上。

ACL不能过滤自身产生的流量，只能对经过的流量进行操作。

匹配规则

自上而下逐一匹配，上条匹配到按上条执行，不再查看下一条。

Cisco 末尾隐含拒绝所有。（不写规则就执行默认 就全部拒绝）。rule peimit source any 修改为允许所有

华为 末尾隐含允许所有，部分设备拒绝所有。

配置方法

1 编号

acl 2000          创建编号为2000的acl

rule deny source 192.168.1.1 0.0.0.0          拒绝源IP为192.168.1.1 的流量 后四个0是通配符

规则 拒绝   源         IP地址      通配符

int g 0/0/0         进入接口

traffic-filter inbound acl 2000        调用

2 命名 （设备仍会给一个默认序号 从2999开始逐一递减）

acl name wuhu basic（不加basic是创建扩展acl，序号从3999开始递减）

rule permit source 192.168.1.1 0                允许源IP为192.168.1.1 的流量  0 是0.0.0.0 的简写

int g 0/0/0

traffic-filter inbound acl name wuhu

通配符

ACL里面的通配符可以0 1 穿插使用。0不可变，1 可变。例如 0.255.0.255。

OSPF里面使用的是反掩码，必须是连续的0 或 1 组成，上面这种在反掩码里面无效。

rule permit source 1.1.1.1   0.0.0.0        允许一个ip

rule permit source 1.1.1.0   0.0.0.0        允许路由

rule permit source 192.168.1.0         0.0.6.0         允许 192.168.1.0，192.168.3.0，192.168.5.0，192.168.7.0 这四个网段

如上图所示，变化的只有 倒数第二和第三的数 。把它们加起来就是 6 。6代表这两个位置的数字可变。所以最后就是这四个网段。

 

序号

 rule 后面的 5 就是序号，默认以5为步调递增，便于插入规则。序号也方便删除。

插入规则：

rule 9 permit source 192.168.2.10 0

示例

 未配置acl前全网可达

pc1 不能访问pc3，pc4

[AR2]acl name wuhu basic 
[AR2-acl-basic-wuhu]rule deny source 192.168.1.2 0.0.0.0

[AR2]int g 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl name wuhu

这样一来 pc1不能访问pc3 和pc4 。因为在AR2 的 0/0/1 接口把pc1 的流量全部拒绝了。

pc2 能访问pc3 但不能访问pc4

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0

[AR1]int g 0/0/1      	
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

 

telnet

telnet需要满足以下要求的

1. 登陆设备与被登陆设备可以正常通信
2. 被登陆设备开启远程登录服务 telnet  enable

telnet命令只能在用户视图下使用

配置命令

aaa  进入3a模式

local-user wuhu password cipher 123  创建wuhu用户 设置密码

local-user wuhu server-type telnet       设置wuhu用户用来远程登录

local-user wuhu privilege level 15        设置wuhu账号权限

默认为1级 只能以用户视图模式登录  15是超级管理员 ，登录后什么都能做

telnet server enable 开启被登录设备远程登录功能

vty 虚拟登录接口

user-interface vty 0 4   虚拟登录接口调用（范围0-4   16-20 一共十个）表示选择0-4虚拟接口，可以让五个人同时登录  

authentication-mode aaa  启用aaa验证

authentication-mode 常见的配置参数有三种

1、authentication-mode aaa或authentication-mode scheme
创建本地用户并启用AAA验证。

2、authentication-mode password 
直接在user-interface vty 下用passrod设置密码

3、authentication-mode none
远程维护登陆不需要密码

scheme是组合的意思.就是组合认证方式,即输入:用户名+密码认证..
1.进入用户界面：user-interface 0 4  （和思科里面的VTY一样，0 4是指可以有5个用户会话同时连接，0,1,2,3,4 ）
2.设置认证模式为组合模式（用户名加密码）：Authenticate-mode scheme
3.建立本地用户名:local-user 用户名,
4.设置用户密码:password simple 密码...
5.设置访问服务类型为telnet：service-type telnet
6.设置授权访问级别：level 3

示例

[AR1]aaa
[AR1-aaa]local-user wuhu password cipher 123
Info: Add a new user.
[AR1-aaa]local-user wuhu service-type telnet 
[AR1-aaa]local-user wuhu privilege level 15
[AR1-aaa]q
创建wuhu用户 设置为telnet 权限等级 15

[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]authentication-mode aaa
创建虚拟登陆接口 0-4（同时可五人登录）
启用aaa验证

测试

 

 

标签：10,aaa,04,HCIA,192.168,acl,telnet,user,wuhu
来源： https://blog.csdn.net/qq_43679416/article/details/120605085

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。