本文講述了華為HCIA認證考試ACL原理與基本配置方法。分享給大家供大家參考，具體如下：

HCIA---ACL

• 目錄
  • 基本概念
  • 工作原理
  • ACL 匹配規(guī)則
  • ACL 的分類
  • ACL 基本配置
  • Telnet 服務

目錄

基本概念

ACL：Access Control List，訪問控制列表。是一種策略工具。
作用：
（1）實現(xiàn)訪問控制
（2）抓取感興趣流量供其他技術調用

工作原理

通過在路由器上手工定義一張 ACL 列表，表中包含有多種訪問規(guī)則，然后將此表調用在路由的某個接口的某個方向上，讓路由器對收到的流量基于表中規(guī)則執(zhí)行動作—允許或者拒絕。

ACL 匹配規(guī)則

1.至上而下按照順序依次匹配，一旦匹配中流量，則立即執(zhí)行，不再查看下一條。
2.末尾隱含同意所有。

ACL 的分類

基本 ACL：范圍 2000 – 2999
只能匹配數(shù)據(jù)包中的源 IP 地址。

高級 ACL：范圍 3000 – 3999
可以識別數(shù)據(jù)包中的源、目 IP 地址，源、目端口號以及協(xié)議號。

PS：
1.基本 ACL 因為只能識別源 IP，所以為了避免誤刪，調用時盡量靠近要求中的目標。
2.高級 ACL 因為可以識別的更精確，所以調用時盡量靠近源。
3.ACL 不能過濾自身產(chǎn)生的流量。

ACL 基本配置

[r2]acl ? //查看 ACL 的類別與范圍
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)

[r2]acl 2000 //創(chuàng)建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0 //拒絕單個IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 //拒絕一個范圍（網(wǎng)段）
[r2-acl-basic-2000]rule deny source any //拒絕所有

PS：動作可以換成 permit ，表示同意。

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //接口調用ACL

[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23
[r1]acl name vlan10 basic/advance //命名的配置方式

[r1]display acl all //查看所有的ACL列表

PS：在配置 ACL 規(guī)則時，設備會自動生成5+的序號來排序。可以基于序號添加和刪除規(guī)則。

Telnet 服務

Telnet：遠程登錄服務
基于 TCP 23 端口工作，基于C/S架構
 

[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa //使用用戶名密碼的方式
[r1]aaa
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234

最新評論