[r1]acl 3100 //创建高级ACL列表
[r1-acl-adv-3100]rule 5 deny ip source 192.168.1.1 0 destination
192.168.2.2 0
设置检测IP报文的源目地址
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100 //调用
ACL技术----访问控制列表
- 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
- ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
- 配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行预先设定好的处理动作。
为什么要使用ACL技术?
ACL作为一种报文过滤器,可以放行符合策略的报文通过,拒绝不符合策略的报文;如果没有ACL,那么网络中的所有报文都可以自由通过网络设备,进而就会引发一些网络安全的问题
ACL的功能
1.访问控制
在设备的流入或流出的接口上,匹配流量,然后执行设定的动作------允许或者拒绝
2.抓取流量
因为ACL经常与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他协议完成
ACL的匹配规则
- 自上而下逐一匹配,匹配成功则按规则执行(不再向下匹配),未匹配上则使用默认规则
- 思科设备,默认规则为拒绝所有
- 华为设备,默认规则为允许所有
ACL的分类
基本ACL
只能基于ip报文的源ip地址,报文分片标记和时间段信息来定义规则;编号(2000-2999)
高级ACL
基于ip报文源目ip地址,源目端口号,协议字段,ip报文优先级,报文长度等信息来定义规则;编号(3000-3900)
二层ACL
使用报文的以太网帧头信息来定义规则;编号(4000-4999)
用户自定义ACL
即可以使用ipv4报文的源ip地址,也可以使用目的ip地址,协议类型,甚至使用ICMP,TCP,UDP,IPV6等协议的各类字段信息定义规则;编号(5000-5999)
需求一
:
PC1
可以访问
192.168.2.0
网段,而
PC2
不行
分析结果
仅对源有要求,配置基本
ACL
即可。
基本
ACL
配置位置
由于基本
ACL
仅关注数据包中的
源
IP
地址
,故配置时需尽量靠近目标,避免对其他地址访问误
伤;
假设此时,在
R1
上配置,那么它不仅仅是无法到达
192.168.2.0
网段,其余网段也不可以
配置
[r2]acl 2000 //创建基本acl列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //配置规则,拒绝
源IP地址为192.168.1.2的地址通过
0.0.0.0这个字符串--->通配符(0代表不可变,1代表可变)
[r2-acl-basic-2000]rule 8 permit source any //允许所有
该数字是规则的序列号,华为默认步长为5,如果未指定规则的序列号,则每条规则都是从前
一条规则的序列号+5得出,方便后期在任意两条规则中间加入或者删除规则。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在0/0/1接口
调用ACL2000,且方向为出方向。
一个接口的一个方向只能调用一张ACL列表;但是一张ACL列表可以在不同的地方多次调用。
[r2]display acl 2000 //查看ACL列表
[r2-acl-basic-2000]undo rule 8 //删除已存在的ACL规则
需求二
:要求
PC1
可以访问
PC3
,但是不能访问
PC4
分析:对目标有要求,需要使用高级
ACL
技术
高级
ACL
的配置位置
由于高级
ACL
对流量进行了精准匹配,可以避免误伤,所以调用时应当尽量靠近源,减
少链路资源的占用.
配置
[r1]acl 3100 //创建高级ACL列表
[r1-acl-adv-3100]rule 5 deny ip source 192.168.1.1 0 destination
192.168.2.2 0
设置检测IP报文的源目地址
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100 //调用
需求三
:要求
PC1
可以
ping
通
R2
,但是不能
telnet R2
![](https://i-blog.csdnimg.cn/blog_migrate/c921f24ad77a0ff67865877edf80b044.png)
分析
需求中包含
telnet
,也就是涉及了
TCP
或
UDP
的端口。使用高级
ACL
配置
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 2.2.2.2
0 destin
ation-port eq 23 //拒绝TCP协议,源为192.168.1.1 目的1.1.1.1,端口号为23的
数据流量
[r1-acl-adv-3000]rule 10 deny tcp source 192.168.1.1 0 destination
2.2.2.2 0 des
tination-port eq telnet //两种方式二选一
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //调用
NAT技术---网络地址转换
- NAT一般应用于内网的出口路由器或者防火墙上。
- NAT技术,对于从内到外的流量,设备会通过NAT将数据包的源地址进行转换(转换成特定的公网 地址);而对于从外到内的流量,则对数据包的目的地址进行转换
NAT的分类
静态
NAT
- 在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有IP地址和私有IP地址之间
的对应关系。
- 静态NAT是一个一对一的NAT
- 工作过程
- 当内网数据包来到边界路由器上,会先检查其目的IP地址是不是公网IP地址。
- 如果是公网地址,则会根据事先配置好的静态地址映射表查找该源IP对应的公网IP地
址。
- 如果有记录,则将源IP地址转换为对应的公网IP地址,然后将数据包转发至公网。
- 若没有记录,则丢弃数据包。
- 如果是私网地址,则根据自身路由表向内网进行转发。
配置
![](https://i-blog.csdnimg.cn/blog_migrate/1cfc54e83c62ac06303c2e99bb53bd6b.png)
[r1-GigabitEthernet0/0/0]nat static global 12.1.1.10 inside
192.168.1.1
公网地址:12.1.1.10;私网地址:192.168.1.1;
注意:不允许使用出接口地址作为公网转换IP地址(NAT地址)
需要使用漂浮IP:12.1.1.10
必须与出接口地址处于同一网段
并且这个IP地址是从运营商买来的合法的公网IP地址
[r1]display nat static //查询静态地址映射表
动态
NAT
- 动态NAT技术的地址映射表内容可变。
- 一对多、多对多
- 动态NAT在同时间内,还是一个公网IP对应一个私网IP。
- 也就是说,当上一个流量回来后,下一个流量才能转换IP地址并转发数据。
配置
[r1]nat address-group 1 12.1.1.10 12.1.1.15 //配置公网IP组
必须是真实购买的IP地址
必须是连续的
与出接口IP处于同网段,且非出接口IP地址
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.1 0 //抓取PC1流量
[r1-acl-basic-2000]rule permit source 192.168.1.2 0 //抓取PC2流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
//将ACL与公网IP组进行绑定
no-pat:只能进行IP地址转换,而不进行端口转换
[r1]display nat address-group 1
NAPT
- 网络地址端口转换技术
- 是在路由器上维护一张源端口号和私网IP地址的映射关系表
- 1-65535
- EASY IP-----华为私有技术---一对多的NAPT
- 使用的公网地址池是边界路由器的出接口IP地址
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //抓取流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 //接口调用
[r1]display nat outbound //查看NAT配置信息
园区网组网
园区网:我们在生活与工作的园区内使用的网络
![](https://i-blog.csdnimg.cn/blog_migrate/1fb743df4805328147ea735eb0cab9f8.png)
什么是园区网
IEEE802.3
标准、
IEEE802.11
标准
园区网络分类
从规模分
按照终端用户数量或者网元(网络中的设备)来分
大型园区网:终端超过
2000
或者网元超过
100
中型园区网:终端在
200-2000
或者网元在
25-100
之间
小型园区网:终端小于
200
或者网元小于
25
从服务对象分
封闭园区网
开放园区网
从承载业务分
单业务园区网
多业务园区网
从接入方式分
有线园区网
无线园区网
从不同行业分
企业园区网络
校园网
商业园区网
政府园区网
园区网络的构成
园区网的发展历程
第一代园区网
- 早期使用集线器,园区网被分成多个局域网,局域网之间使用路由器
- 二层交换机-->解决了冲突--->BD广播域太大
第二代园区网
- 万维网、即时通讯
- 三层交换机(路由式交换机)--->三层架构(核心层、汇聚层、接入层)组网方式
- 802.3u(快速以太网)--->100Mbps ; 802.3ab(吉比特以太网)--->1Gbps
- 淘汰了同样具备竞争力的ATM技术
- 以太网带宽的发展超过了园区网络业务需求的发展SNMP(简单网络管理协议)
第三代园区网
- 2007年--->智能移动终端的元年
- 引入wifi网络
- 需求不足
- 安全威胁
- NAC(思科网络准入控制系统)
- 传统网络架构不利于wifi部署
- 早期wifi部署,是对有线网络的延伸,直接挂载胖AP(提供射频信号、认证、管理
- 等)
- WAC-AP部署模式
- 瘦AP(仅具备提供射频信号功能)
- 所有的管理统一由WAC(无线接入控制器)进行管理
- 华为推出“敏捷园区网络”
第四代园区网
![](https://i-blog.csdnimg.cn/blog_migrate/fe381f725714381b6ee87b1044e5955e.png)