IA基础知识4

最新推荐文章于 2023-03-02 09:28:13 发布

小铁侠

最新推荐文章于 2023-03-02 09:28:13 发布

阅读量191

点赞数

文章标签：网络

本文链接：https://blog.csdn.net/m0_64922508/article/details/127576440

版权

[r1]acl 3100 //创建高级ACL列表
[r1-acl-adv-3100]rule 5 deny ip source 192.168.1.1 0 destination
192.168.2.2 0
设置检测IP报文的源目地址
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100 //调用

ACL技术----访问控制列表

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配，然后对报文执行预先设定好的处理动作。

为什么要使用ACL技术？

ACL作为一种报文过滤器，可以放行符合策略的报文通过，拒绝不符合策略的报文；如果没有ACL，那么网络中的所有报文都可以自由通过网络设备，进而就会引发一些网络安全的问题

ACL的功能

1.访问控制

在设备的流入或流出的接口上，匹配流量，然后执行设定的动作------允许或者拒绝
2.抓取流量

因为ACL经常与其他协议共同使用，所以ACL一般只做匹配流量的作用，而对应的动作由其他协议完成

ACL的匹配规则

自上而下逐一匹配，匹配成功则按规则执行（不再向下匹配），未匹配上则使用默认规则
思科设备，默认规则为拒绝所有
华为设备，默认规则为允许所有

ACL的分类

基本ACL
只能基于ip报文的源ip地址，报文分片标记和时间段信息来定义规则；编号（2000-2999）

高级ACL
基于ip报文源目ip地址，源目端口号，协议字段，ip报文优先级，报文长度等信息来定义规则；编号（3000-3900）

二层ACL
使用报文的以太网帧头信息来定义规则；编号（4000-4999）

用户自定义ACL
即可以使用ipv4报文的源ip地址，也可以使用目的ip地址，协议类型，甚至使用ICMP,TCP,UDP,IPV6等协议的各类字段信息定义规则；编号（5000-5999）

需求一 ： PC1 可以访问 192.168.2.0 网段，而 PC2 不行

分析结果

仅对源有要求，配置基本 ACL 即可。

基本 ACL 配置位置

由于基本 ACL 仅关注数据包中的源 IP 地址，故配置时需尽量靠近目标，避免对其他地址访问误

伤；

假设此时，在 R1 上配置，那么它不仅仅是无法到达 192.168.2.0 网段，其余网段也不可以

配置

[r2]acl 2000 //创建基本acl列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //配置规则，拒绝
源IP地址为192.168.1.2的地址通过
0.0.0.0这个字符串--->通配符（0代表不可变，1代表可变）
[r2-acl-basic-2000]rule 8 permit source any //允许所有
该数字是规则的序列号，华为默认步长为5，如果未指定规则的序列号，则每条规则都是从前
一条规则的序列号+5得出，方便后期在任意两条规则中间加入或者删除规则。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在0/0/1接口
调用ACL2000，且方向为出方向。
一个接口的一个方向只能调用一张ACL列表；但是一张ACL列表可以在不同的地方多次调用。
[r2]display acl 2000 //查看ACL列表
[r2-acl-basic-2000]undo rule 8 //删除已存在的ACL规则

需求二 ：要求 PC1 可以访问 PC3 ，但是不能访问 PC4

分析：对目标有要求，需要使用高级 ACL 技术

高级 ACL 的配置位置

由于高级 ACL 对流量进行了精准匹配，可以避免误伤，所以调用时应当尽量靠近源，减

少链路资源的占用.

配置

[r1]acl 3100 //创建高级ACL列表
[r1-acl-adv-3100]rule 5 deny ip source 192.168.1.1 0 destination
192.168.2.2 0
设置检测IP报文的源目地址
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100 //调用

需求三 ：要求 PC1 可以 ping 通 R2 ，但是不能 telnet R2

分析

需求中包含 telnet ，也就是涉及了 TCP 或 UDP 的端口。使用高级 ACL

配置

[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 2.2.2.2
0 destin
ation-port eq 23 //拒绝TCP协议，源为192.168.1.1 目的1.1.1.1，端口号为23的
数据流量
[r1-acl-adv-3000]rule 10 deny tcp source 192.168.1.1 0 destination
2.2.2.2 0 des
tination-port eq telnet //两种方式二选一
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //调用

NAT技术---网络地址转换

NAT一般应用于内网的出口路由器或者防火墙上。
NAT技术，对于从内到外的流量，设备会通过NAT将数据包的源地址进行转换（转换成特定的公网地址）；而对于从外到内的流量，则对数据包的目的地址进行转换

NAT的分类

静态 NAT

在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有IP地址和私有IP地址之间

的对应关系。

静态NAT是一个一对一的NAT
工作过程
当内网数据包来到边界路由器上，会先检查其目的IP地址是不是公网IP地址。
如果是公网地址，则会根据事先配置好的静态地址映射表查找该源IP对应的公网IP地

址。

如果有记录，则将源IP地址转换为对应的公网IP地址，然后将数据包转发至公网。
若没有记录，则丢弃数据包。
如果是私网地址，则根据自身路由表向内网进行转发。

配置

[r1-GigabitEthernet0/0/0]nat static global 12.1.1.10 inside
192.168.1.1
公网地址：12.1.1.10；私网地址：192.168.1.1；
注意：不允许使用出接口地址作为公网转换IP地址（NAT地址）
需要使用漂浮IP：12.1.1.10
必须与出接口地址处于同一网段
并且这个IP地址是从运营商买来的合法的公网IP地址
[r1]display nat static //查询静态地址映射表

动态 NAT

动态NAT技术的地址映射表内容可变。
一对多、多对多
动态NAT在同时间内，还是一个公网IP对应一个私网IP。
也就是说，当上一个流量回来后，下一个流量才能转换IP地址并转发数据。

配置

[r1]nat address-group 1 12.1.1.10 12.1.1.15 //配置公网IP组
必须是真实购买的IP地址
必须是连续的
与出接口IP处于同网段，且非出接口IP地址
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.1 0 //抓取PC1流量
[r1-acl-basic-2000]rule permit source 192.168.1.2 0 //抓取PC2流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
//将ACL与公网IP组进行绑定
no-pat：只能进行IP地址转换，而不进行端口转换
[r1]display nat address-group 1

NAPT

网络地址端口转换技术
是在路由器上维护一张源端口号和私网IP地址的映射关系表
1-65535
EASY IP-----华为私有技术---一对多的NAPT
使用的公网地址池是边界路由器的出接口IP地址

[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //抓取流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 //接口调用
[r1]display nat outbound //查看NAT配置信息