1.ACL基本概念
1.1Access Control List 访问控制列表,是由permit和deny组成的有序的语句,组成的一个规则。 1.2ACL配置在路由上,数据包从接口经过的时候,接口配置ACL策略,路由器会根据策略,检查数据包,然后根据策略做出响应的处理。
2.ACL作用
2.1对数据包的访问进行控制 2.2还可以对协议控制 icmp tcp
3.ACL在接口上如何应用
在入口:数据包从入口进入路由器,能不能进入路由器。 在出口:数据包经过路由器处理之后,能不能出去。
4.ACL的种类
基本acl:2000-2999,只能匹配源ip地址
高级acl:3000-3999,源ip和目的ip,源端口和目的端口,三层和四层协议都可以支持,ICMP、TCP、UDP、HTTP、HTTPS
二层ACL:4000-4999,根据mac地址匹配的,如果设备更换所有的配置都要重新写。
5.ACL的使用原则
基本acl:尽量用在靠近目的地 高级acl:尽量使用在靠近源的地方
6.ACL应用规则和匹配顺序
1、一个接口的同一方向只能调用一个ACL
2、一个ACL当中可以有多个规则,根据规则的id从小到大排序,从上到下一次执行。
3、数据包一旦被某个策略匹配,就不再继续向下匹配
4、默认是放行所有的(华为设备)
7.网络地址转化技术(NAT)
7.1静态NAT
就是不动,不变,需要手动修改。一个私有地址对应一个公网
7.2NAT地址转换
核心:内网到外网,源ip发生变化
外网到内网,目的ip发生变化
7.3动态NAT
7.4NAPT:端口多路复用
7.5Easy IP
8.NAT配置
服务器端口配置ip地址
配置静态NAT,所有1.10出去的数据,源ip地址都会被转化成10.0.0.10
到接口处使之生效,把配置的功能都打开
能够到达12.0.0.10
配置动态NAT,先把之前的删除
设置地址池,地址池的范围是100-200
创建基本ACL,设置g0/0/2端口
抓包,地址池完成
配置Easy IP,先把之前的配置删除
设置高级ACL3000
设置g0/0/2接口
抓包发现出去的地址都变成12.0.0.254
私网和公网之间的端口映射
设置g0/0/0端口,所有的请求访问192.168.1.254 80就相当于访问12.0.0.10 80;nat server protocol——指定NAT服务是TCP协议;global current-interface80——指定了全局的接口是192.168.1.254,以及服务的端口;inside 12.0.0.10 80——是一个映射,192.168.1.254 80=12.0.0.10 80,访问192.168.1.254 80就相当于访问12.0.0.10 80
设置完成