一、ACL
- ACL是由一系列permit(允许)和deny(拒绝)语句组成的、有序规则的列表
能够对收到的报文进行匹配区分
源IP地址、目的IP地址、协议类型 | 源端口、目的端口 | 数据 |
IP头部 | TCP/UDP头部 | data |
- ACL的应用:
1.应用在接口的ACL-----过滤数据包 (原目ip地址,原目 mac,端口 五元组)
2.应用在路由协议-------匹配相应的路由条目
3.NA、IPSEC VPN、QOS-----匹配感兴趣的数据流
- ACL种类
- 编号2000-2999---基本ACL---依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的).
- 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999---二层ACL,MAC、VLAN-id、802.1g
-
命令格式
普通acl:
acl number 2000 启用基本acl
rule 5 deny丨permit source丨destination 192.168.1.0 0 规则编号 5(步长)源 丨目的 IP地址 通配符(确定范围)
高级acl:
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eg wwy (80)35拒绝 来源于 192.168.1.1去访问 192.168.2.1的 tcp 的80端口(不让他打开网页)
[RI]int g0/0/1
undo traffic-filter outbound
[RI]int g0/0/0
R1-GigabitEthernet0/0/1]traffic-filter inbound ac] 3000
二、NAT
- 当有数据经过并需要发出时,路由器会把私网地址改成公网地址并转发
1.静态NAT-----需要手动配置 进行关联:
- 配置好地址:
- 在企业出口路由器上的 go/0/1 口配置
- int g0/0/1ip address 200.1.1.1 255.255.255.0
- nat static enable 开启静态nat
- nat static global 200.1.1.100 inside 192.168.1.1 静态地址公网200.1.1.100内部地址192.168.1.1
2.动态NAT-----规定允许登录公网的网段,自动分配:
- nat address-group 1 200.1.1.10 200.1.1.15 #建立地址池
- ac1 number 2000
- rule 5 permit source 192.168.1.0 0.0.0.255 #给需要地址转换的 网段添加规则
- int g0/0/1undo nat static globa1 200.1.1.100 inside 192.168.1.1nat outbound 2000 address-group 1 no-pat #添加规则
- 不生效
- save
- reboot 重启
- display nat session a11
3.NATPT (端口映射)--------NATServer----内网服务器对外提供服务,针对目的ip和目的端口映射 内网服务器的相应端口映射成路由器公网ip地址的相应端口
- 配置好ip地址
- 企业出口路由器需要配置默认路由
- 在企业出口路由器上 的g0/0/1 口配置int g0/0/1
- ip address 200.11.1 255.255.255.0undo nat static global 200.1.1.100 nside 192.168.1.1 netmask 255.255.255.255nat server protoco tcp global current-interface 80 inside 192.168.1.100 80nat static enable
4.Easy-IP
1.使用ACL列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
- acl 2000
- rule permit source 192.168.1.0 0.0.0.255
- int g0/0/1
- undo nat static global 200.1.1.100 inside 192.168.1. netmask 255.255.255.2555 nat outbound 2000
- display nat session al