目录
1.ACL访问控制列表:
1.1.作用:
- 读取的是TCP/IP五层模型的第三层(网络层)、第四层(传输层)的报文头信息,根据预先定义好的规则对报文进行过滤
- 访问控制 --- 在路由器流量进或出的接口上,匹配流量产生动作 --- 允许、拒绝。
- 定义感兴趣流量 --- 抓取流量,之后给到其他的策略,让其他策略进行工作。
1.2.匹配规则:
- 至上而下逐一匹配,上条匹配优先按上条执行,不再查看下条;
- cisco系默认末尾隐含拒绝所有;华为系末尾隐含允许所有。
1.3.分类:
- 标准 --- 仅关注数据包中的源ip地址
- 扩展 --- 关注数据包中的源、目标ip地址,目标端口号或协议号
1.4.配置命令:
1.4.1.标准 :
- 由于标准ACL仅关注数据包中的源ip地址;故调用时必须尽量的靠近目标,避免对其他流量访问的误删。
- 编号2000-2999 为标准列表编号,一个编号为一张表。
源ip地址需要使用通配符来匹配范围。
通配符和反掩码的区别:在于通配符可以0与1穿插书写。
ACL定义完成后,必须在接口上调用 方可执行,调用时一定注意方向,一个接口的一个方向上只能调用一张表。
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]rule deny source any
动作 源ip地址
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
1.4.2.扩展列表配置:
- 由于扩展ACL 源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量。
[r1]acl 3000 ----扩展列表编号 3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标ip地址
源、目ip地址位置,使用通配符0标记一个主机,或使用反1标记段,或使用any均可
1.4.3.使用扩展列表,同时关注目标端口号:
目标端口号:服务端使用注明端口来确定具体的服务。
ICMPv4 -- internet控制管理协议 -- ping
Telnet -- 远程登录, 明文(不加密), 基于tcp,目标端口23。
条件:1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
Telnet用户创建和开启 :
[r1]aaa ----启动存储账号的服务
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet ----仅用于telnet 远程登录
创建名为panxi的账号,权限最大(15),密码123456;该账号仅用于telnet 远程登录
[r1]user-interface vty 0 4 ----远程登录虚拟接口
[r1-ui-vty0-4]authentication-mode aaa -----在vty线上开启认证
拒接端口配置:
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10 对192.168.1.1 访问时,传输层协议为tcp,且目标端口号为23。
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10 对192.168.1.1的ICMP访问
2.NAT
2.1IPV4地址中,存在私有与公有IP地址的区别:
- 公有:具有全球唯一性,可以在互联网通讯,需要付费使用
- 私有:具有本地唯一性,不能在互联网通讯,无需付费使用
私有ip地址:10.0.0.0/8; 172.16.0.0/16-172.31.0.0/16; 192.168.0.0/24-192.168.255.0/24
2.2.NAT网络地址转换:
- 边界路由器上-- 对连接外网的公有ip地址所在接口进行配置
- 边界路由器上,对进、出的流量的进入源或目标ip地址的修改;
- 一对一, 一对多 , 对多对 , 端口映射
2.3.1.一对多:
- 多个私有ip地址对应同一个公有ip地址 PAT:端口地址转换
- 先使用ACL定义可以被转换的私有ip地址范围
- 再在公网所在接口,通过acl2000列表中关注的私有ip地址,在该接口转出时,其源ip地址修改为该接口的公有ip(为了区别将会附带一个端口号)
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000
2.3.2.一对一的配置:
在连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10
公有 私有
2.3.3端口映射:
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
外部访问该接口ip-12.1.1.1且目标端口号为80时,将被修改为192.168.1.10目标端口80(直接访问192.168.1.10)
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80
外部访问该物理接口ip-12.1.1.1 且目标端口为8888时,将被修改为192.168.1.20 目标端口80(直接访问192.168.1.20)
2.3.4.多对多配置:
[r1]nat address-group 1 12.1.1.3 12.1.1.10 ----先定义公有ip地址范围
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255 ----再定义私有ip地址的范围
最后在连接公网的接口上配置多对多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
私有 公有
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 一对一(多个一对一)