ACL:
一、ACL概述:
控制网络流量,控制访问的网络技术手段。
二、ACL工作原理:
当数据包从接口通过时,由于接口使用了ACL,此时路由器会对报文进行检查并作出处理。
三、ACL作用:
1.控制访问的数据流量(通过、拒绝)
2.限制网络流量,提高网络性能。
3.提供对通信流量的控制手段。
技术背景:需要一个工具实现流量过滤。
四、ACL的范围:
基本acl(2000---2999): 只能匹配源IP地址
高级acl(3000---3999):可以匹配源、目的IP地址;源、目的端口;三层、四层协议字段
ACL的应用原则:
基本ACL:尽量用在靠近目的的点(outband)
高级ACL:尽量用在靠近源的地方(inband)
匹配规则:
1、一个接口的同一个方向,只能调用一个acl。
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行。
五、通配符掩码:
通配符掩码,路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。
用通配符掩码告诉路由器源目地址的范围。
六、ACL实验:
要求:1.Client2 不能访问server2的tcp80端口
2.Client3 不能访问server3
1.分配并配置IP:
Client2配置:192.168.1.1/24 192.168.1.254
Client2配置: 192.168.1.2/24 192.168.1.254
Server2:配置: 192.168.2.1/24 192.168.2.254
Server3:配置: 192.168.2.1/24 192.168.3.254
2.配置R1:
给对应端口配置IP:
先完成要求1:
控制Client2 不能访问server2的tcp80端口:
1. 建立 ACL 3000
2. 进入ACL中配置:起步号 5 不允许 192.168.1.1 0 的 tcp 访问192.168.2.1 0 tcp的80端口
3. 把ACL3000 配置在 g0/0/0口
完成要求2:
Client3 不能访问server3
1.建立ACL2000 ,
2.起步号5 不允许通过192.168.1.2 反掩码0
3.配置在g0/0/2口
3.测试:
开启Server2服务器上的FTP HTTP服务,便于测试:
控制Client2 不能访问server2的tcp80端口 测试如图:
Client3 不能访问server3 测试如图:
NAT:
一、NAT概念:
对IP数据报文中的ip地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。(将内网地址转换成可以访问外网的地址。)
使用场景:访问的源目IP为私有地址时,运营商没办法进行地址转换。
从内网到外网,源地址改变,从外网到内网,目的地址改变。
二、NAT种类:
1.静态nat:
需要工程师手动将私有地址和公网地址进行一 一关联。
在配置好路由公网地址后,路由再出口配置以下命令:
nat static enable
nat static global 公网地址 inside 私网地址
2.动态nat:
建立公网地址池,用acl设置可以通过的私网地址,此时私网地址可以随机匹配公网地址池中的公网地址。
路由配置:
创建可用地址池:
nat address-group 1 200.1.1.10 200.1.1.15
创建acl 2000:
acl 2000
给需要转换的地址,添加网段范围规则(反掩码):
rule 5 permit source 192.168.1.0 0.0.0.255
给出口添加nat规则:
int g0/0/1
nat outbound 2000 address-group 1 no-pat
3.NATPT(端口映射):
内网服务器向外提供服务时,把客户端访问的公网IP和端口映射到内网服务器IP端口。
端口映射实验:
要求:Client4可以访问Server4的80端口:
1.配置IP:
Client4配置 200.1.1.1/24 200.1.1.2
Server4配置 192.168.3.1/24 192.168.3.254
2.配置路由器:
配置r1端口
配置默认路由:
在g0/0/1 公网地址口配置映射地址和接口:
3.配置r2:
int g0/0/0
ip add 200.0.0.2
int g0/0/1
ip add 200.1.1.2
ip rotue-static 192.168.1.254 24 200.0.0.1
3.测试:
4.Easy-IP:
把私有地址包装成acl ,映射到公有地址上。
Easy实验:
要求:PC2、PC3、Server4 都可以访问Client4
1.配置IP
2.设置默认路由(由于上次实验已添加,不做记录)
3.创建acl 2000,并添加网段
4.在g0/0/1配置 nat 出口映射成 acl2000
5.测试: