huawei ict day9 aaa
- ict
- 2023-11-10
- 764热度
- 0评论
AAA原理与配置
原理:实现对网络设备进行认证,授权,计费;
1.认证:对用于进行身份的认证,才能接入网络
2.授权:对不同用户进行等级限制,或者资源访问权限
3.计费:用于登入后进行时间的计费
配置:
aaa //进入AAA视图
local-user huawei password cipher huawei@123 //创建本地用户名 huawei 密码为huawei@123
local-user huawei privilege level 15 //配置用户权限为等级15
local-user huawei service-type telnet //配置支持的服务类型为telnet
user-interface vty 0 4 //进入虚拟接口 vty 0 4
authentication-mode aaa //绑定认证模式为aaa
<R1>telnet 23.1.1.3 //测试远程R3,并且输入名字和密码
ACL的原理与配置
ACL(访问控制列表)
原理:通过一系列的语句对数据报文进行匹配,结合路由策略和策略路由进行放行和过滤
应用:通过permit(允许)和deny(过滤)语句进行对流量处理,根据规则由小到大进行逐一匹配;
ACL分类:
①基础acl:只能匹配流量的源ip进行匹配,范围(acl 2000-2999)
②高级acl:可以根据流量的五元组匹配(源目ip地址,源目端口号,协议号),范围(acl 3000-3999)
匹配流量规则(通配符)
“0”表示严格匹配,通配符对应的数据是固定不变的
“1”表示任意匹配,通配符对应的数据是任意改变的
匹配奇数地址:匹配192.168.1.0 24 网段的所有奇数地址----------192.168.1.1 0.0.0.254
(最后一位固定为1,2^n+1=奇数)
匹配偶数地址:匹配192.168.1.0 24 网段的所有偶数地址----------192.168.1.0 0.0.0.254
(最后一位固定为1,2^n+0=偶数)
匹配地址案例:
192.168.1.1 0.0.0.0 //匹配单独的唯一 一个地址
192.168.1.1 0.0.0.255 //匹配192.168.1.0 24网段的地址
192.168.1.1 0.0.0.254 //匹配192.168.1.0 24网段的所有奇数地址
192.168.1.0 0.0.0.254 //匹配192.168.1.0 24网段的所有偶数地址
配置:
acl number 2000
rule 5 deny source 192.168.1.1 0 //配置规则5,把所有来源的ip地址为192.168.1.1的流量全部过滤
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 2000
acl number 3000
rule 5 deny ip source 192.168.1.1 0 destination 192.168.2.3 0
//规则5,过滤源ip为192.168.1.1 目的ip地址为192.168.2.3的流量
rule 10 permit ip //规则10,放行所有流量
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3000
补充: 华为设备acl规则,默认是放行所有流量