ACL
ACL 概述及 产生的背景
ACL: access list 访问控制列表
ACL 应用
ACL两种应用:
-
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
-
应用在路由协议-------匹配相应的路由条目( )
-
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
ACL 工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理
ACL种类
-
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
-
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
-
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
基本acl的书写格式 源ip
acl 2000
#新建表格, 将你设置的 过滤条件放入 这个表格
rule permit | deny source 匹配的条件(ip地址) 通配符掩码(用来控制匹配的范围, 比较难)
#添加条件
子网掩码的作用: 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码: 连续的0 代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
通配符掩码
可以0 1穿插
利用ip地址+通配符匹配流量
掩码、反掩码-----0和1必须连续 ,通配符掩码-----0和1可以不连续
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 0和1可以不连续
#通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插
rule 5 premit source 192.168.1.0 0.0.0.255
acl过滤奇数偶数
192.168.1.0
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
1100 0000 .10101000.0000 0001.0000 00 00
1100 0000 .10101000.0000 0001.0000 00 01
1100 0000 .10101000.0000 0001.0000 00 10
1100 0000 .10101000.0000 0001.0000 00 11
1100 0000 .10101000.0000 0001.0000 01 00
0.0.0.0000 0111
192.168.1.0
偶数 地址 用来算偶数
0-255
0.0.0.1111 1111 ---> 0.0.0.255
0.0.0.1111 1110 255-1
0.0.0.254
192.168.1.1
奇数 用来算
0.0.0.254
0.0.0.1111 111 0
192.168.1.1 0.0.0.0
192.168.1.1 0
192.168.1.1 0.0.0.255
192.168.1.1 192.168.1.64
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
acl 访问控制列表
1 建立规则
2 进入接口 调用规则 inboud outboud
实际操作
######R1设置##########
######配置地址######
int g0/0/0
ip address 192.168.1.254 255.255.255.0
int g0/0/1
ip address 192.168.2.254 255.255.255.0
int g0/0/2
ip address 192.168.3.254 255.255.255.0
1.建立acl 2调用acl
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
-----------------------
没有被acl匹配数据默认采用permit动作
-----------------------
基本acl需要调用在离目的设备最近的接口上
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
[R1]int g0/0/1
undo traffic-filter outbound
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
ACL(访问控制列表)的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT
NAT(网络地址翻译)
一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。
实际场景问题
201.0.0.1 公网地址? 买的 运营商给你的
192.168.1.1 公司的内网地址
去访问 外网服务器 200.0.0.1
源地址 192.168.1.1 目的地址200.0.0.1
经过 路由器NAT技术处理 静态模式
源地址:201.0.0.1 目的地址:200.0.0.1
回包的时候
源地址 200.0.0.1 目的地址:201.0.0.1
经过 路由器NAT技术处理
源地址 200.0.0.1 目的地址:192.168.1.1
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
静态nat
192.168.1.1 201.0.0.1
192.168.1.2 201.0.0.2
工程手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
配置好地址:
在企业出口路由器上的 g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1
#注意不能直接使用 接口地址200.1.1.1
dis nat static
<Huawei>dis nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.1.1.100/----
Inside IP/Port : 192.168.1.1/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
动态NAT
nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
#给需要地址转换的 网段添加规则
int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
配置好ip地址
企业出口路由器需要配置默认路由
在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
1421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
