提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
一、ACL概述
1.ACL是什么
ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
2.ACL的两种应用及匹配机制
①应用在端口的ACL,用于过滤数据包。
②应用在路由协议,匹配对应的路由协议。
匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效
3.ACL的种类
2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理
3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理
4.ACL的命令
1.ACL 2000 ## 创建基础ACL
2.rule permit(deny) source 1.1.1.1 ##添加规则允许、拒绝 源IP为1.1.1.1的地址
3.int g/0/0/1 ##进入要配置的端口
4.traffic-filter oubound(inbound) ACL 2000 ## 在入口或出口调用ACL 2000 的规则
二、ACL的实战配置
实验目的:同一个局域网中,要求PC1不能访问server而PC2可以访问server。
第一步、配置PC1和PC2的IP、掩码以及网关
第二步、配置路由器接口地址并检测PC1、PC2是否都可以访问server
第三步、在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完毕检测访问结果,如下图可以看出配置完ACL后PC1不能访问server,PC2依然可以server至此实验完毕。
[R1]ACL 2000 ##创建基础级ACL 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 ##添加规则,拒绝源ip为192.168.1.1
[R1-acl-basic-2000]int g0/0/1 ##进入 g0/0/1接口
[R1-GigabitEthernet0/0/1] traffic-filter outbound acl 2000 ##为出端口配置ACL 2000规则
二、NAT概述
1.NAT的原理及作用
作用:通过对网络地址转换,实现内网地址和公网地址的互相访问
原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。
2.NAT的分类
1.静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
2.动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
3.NAT的命令
静态nat配置:
①进入企业出口路由器 static nat enable 开启静态nat
②nat static global 1.1.1. 1 inside 2.2.2.2 将 静态 nat私网地址1.1.1.1对应公网2.2.2.2**
动态nat配置:
①nat address-group 1 200.1.1.10 200.1.1.15 #建立动态nat地址池
②acl number 2000 #创建acl 2000
③rule 5 permit source 192.168.1.0 0.0.0.255 #设定规则来自192.168.1.0网段用户允许通过
④int g0/0/1 #进入g0/0/1端口
⑤nat outbound 2000 address-group 1 no-pat #将规则添加在出口
三、EASY-IP实验配置
实验目的:PC1和PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。
**第一步:**配置pc1和pc2的地址
**第二步:**配置R1和R2的地址
第三步:在企业出口路由器R1上添加ACL规则并在出口上应用nat,以此达到PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。
[R1]ACL 2000 ##创建初级ACL 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 255.255.255.255
##添加规则允许源地址为192.168.1.0的用户通过
[R1-acl-basic-2000]quit ##返回系统视图
[R1]int g0/0/1 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat outbound 2000 ##在此接口配置出口nat并调用acl 200规则