文章目录
一、ACL原理
1、ACL的概述
(1)acl是由一系列 permit 或 deny 语句组成的有序规则列表
(2)ACL是一个匹配工具,能够对报文进行匹配和区分
2、ACL应用
(1)匹配ip流量
(2)在traffic-filter中被调用
(3)在NAT中被调用
(4)在路由策略中被调用
(5)在防火墙的策略部署中被调用
(6)在QOS中被调用
3、ACL有两种应用
(1)应用在接口的acl:过滤数据包(原目的IP地址,原目的mac地址,端口,五元组)
(2)应用在路由协议:匹配相应的路由条目
(3)NAT、IPSECVPN、QOS(此时路由器会对匹配感兴趣,数据流设置的)
4、ACL的工作原理
当数据包从接口经过时,由于接口启用了acl报文进行检查,然后做出相应处理(拒绝、接收)
5、ACL的分类
(1)基本acl :范围2000~2999,仅使用报文的源IP地址,分片信息和生效来定义时间段信息
(2)高级acl:范围3000~3999,可使用ipv4报文的元IP地址,目的IP地址,IP协议类型,ICMP类型,TCP源/目的端口号,UDP源,目的端口号,生效时间段定义
匹配机制:小的地址范围写上面
二、ACL配置
1、基本ACL配置
(1)规划拓扑图
![在这里插入图片描述](https://img-blog.csdnimg.cn/9da29a1e11b24fd390f45aa3f4d559e3.png
(2)基础配置
(3)R1配置
配置IP地址
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 出口处调用2000
(3)测试192.168.1.1 ping 192.168.2.1、192.168.3.1
(4)文件共享
服务器中的文件可以共享给客户端
2、高级ACL配置
控制精细
(1)删除基本出口处的调用关系
(2)建立高级acl
3、ACL访问控制列表的应用原则
(1)基本acl:尽量用在靠近目的地点
(2)高级acl:尽量用在靠近源目的地方(可以保护带宽和其他资源)
4、匹配规则
(1)一个接口的同一个方向,只能调用一个acl
(2)一个acl里面可以有多个rule原则,按照规则ID从小到大排序,从上往下依次执行
(3)数据包一旦被某个rule匹配,就不会再继续向下匹配
(4)用来做数据包访问控制时,默认隐含放过所有(华为设备)
三、NAT
1、NAT基础
(1) NAT是网络地址翻译
(2)作用:可以将私网地址转换为公网地址
2、NAT静态配置
(1)搭建拓扑图
![在这里插入图片描述](https://img-blog.csdnimg.cn/555e4157e1cb4e878f38eab88b41cfa8.png
(2)pc配置
(3)配置路由器地址
(4)在企业路由器上配置静态NAT
(5)测试pc机是否可以通运营商地址
抓包看
3、NAT动态配置
(1)删除静态nat的配置
(2)配置动态nat
(3)测试互通
未通,
save 保存
reboot 重启路由器
测试互通信
display nat seesion all 查看所有nat信息
4、NATPT(端口映射)
淘宝
天猫会使用
NAT-server:内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网IP地址的相应端口
(1)搭建拓扑图
(2)配置运营商设备的端口IP地址
(3)企业出口处配置静态默认路由
(4)企业出口路由器上配置
(5)测试用户访问企业200.1.1.1
5、EASY-ip
(1)特点:使用acl列表匹配私网的IP地址
(2)将所有私网地址映射成路由器当前接口的公网地址
(3)配置
进入接口删掉前面的配置
做规格
测试pc1互通200.1.1.2
pc2互通200.1.1.2