一.ACL:
1:ACL作用:
1.过滤流量,然后匹配规则后判断该通过或者拒绝
2.在NAT里匹配感兴趣的流量
ACL有两个动作,permit和deny,permit相当于石子,在漏网里;deny相当于石灰粉,即过滤掉了,不在漏网中。
访问控制列表:
提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。
2:ACL的组成:
ACL是由多条不同的规则组成的,这些规则组成了一个滤网的功能,通过permit/deny的动作,来决定是抓取还是不抓取。
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.2.0 0.0.0.255
- rule是规则关键字
- 后面的数字5,10是规则编号
- source是指根据源来进行过滤的,是过滤的条件,当然也可以有其他的一些过滤条件
- 192.168.1.0是网络前缀,后面紧跟的0.0.0.255是通配符
子网掩码 1111 0000(主机) 配置IP地址的时候用,连续1来表示网络位
反掩码 0000 1111 路由协议(ospf协议)连续0 表示网络位(必须是连续的)
通配符掩码 可以0 1 穿插 **0不可变 1可变**(可以不连续)
3:ACL分类:
基本ACL:编号范围2000-2999,可以通过匹配源IP进行过滤。
高级ACL:编号范围3000-3999,可以通过匹配源目IP、源目端口、协议等进行匹配。
二层ACL:编号范围4000-4999,可以通过匹配源目MAC等进行匹配。
4.ACL的配置实验 :
基本ACL:
命令:
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000
#数据流向,在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
没有被acl匹配数据默认采用permit动作
基本acl需要调用在离目的设备最近的接口上
1.对AR1路由器进行配置:
2.检验:
client1不能ping通server1
client2可以ping通server1
高级ACL:
命令:
acl number 3000 #建立acl
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
# 不让 192.168.1.1去访问192.168.2.1的tcp 80端口(www web 服务)
添加文件根目录:
连接失败
二:NAT:
一:NAT介绍:
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。
NAT一般部署在连接内网和外网的网关设备上。
从私网---》外网 将源私网地址改成源公网地址
外网---》内网 将目的公网改成目的私网地址
二.静态NAT和动态NAT:
1.静态NAT:
静态NAT是通过手工指定,将一个公网地址和一个私网地址映射,是一对一的关系。
静态NAT配置:
方式一:
[r1]nat static global 201.1.100.1 inside 192.168.1.1 ---配置静态NAT映射
[r1-GigabitEthernet0/0/0]nat static enable ---接口下使能静态NAT功能
方式二:
[r1-GigabitEthernet0/0/0]nat static global 201.1.100.1 inside 192.168.1.1 ----直接在接口下配置静态NAT映射
2.动态NAT:
动态NAT基于地址池来实现私有地址和公有地址的转换。
动态NAT配置:
[r1]nat address-group 1 201.1.100.1 201.1.100.5 ---创建地址池
[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat ----接口出方向配置NAT动态转换
三.NAPT:
1.介绍:
NAPT——网络地址端口转换,可以通过使用一个公网地址的不同端口号,来映射不同的私网地址和端口号,提升了公网地址的使用效率以及可以支持内网终端上网的并发数量。
NAPT配置:
[r1]nat address-group 1 201.1.100.1 ---创建地址池
[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 ----接口出方向配置NAPT
四.Easy IP:
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
3.Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
Easy IP配置:
[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000 ----接口出方向配置easy ip
----------------------------------------------------------------------------
[r1-GigabitEthernet0/0/0]nat outbound 2000 inrterface loopback 0 ----也可以引用loopback接口作为公网地址在接口出方向做NAT转换