ACL—访问控制列表
配置了ACL的网络设备根据事先制定号的规则,然后对经过该设备的流量按照对应的规则进
行匹配,对匹配上的流量执行相应的动作
ACL的功能:
访问控制:
允许Permit
拒绝deny
抓取流量:ACL只匹配流量,至于具体的动作将和其他协议或者一些服务联合起来使用
ACL访问控制列表的匹配原则——
自上而下,逐一匹配,一旦匹配上则不在向下匹配
华为默认ACL列表末尾隐含一条允许所有的指令(不做处理)
思科默认ACL列表末尾隐含一条拒绝所有的指令
ACL的分类:
基础的ACL:仅关注数据包中的源IP地址
2000-2999
高级ACL:除了关注数据包中的源IP地址之外,还会关注数据包中的目标IP,端口号等等。
3000-3999
用户自定义的ACL:
ACL的调用:路由器的接口,并且ACL的调用需要区分流量的流向(流入或者流出)
策略
配置:
1.创建ACL
[r1]acl 2000
2.给ACL列表写规则
[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相当于拒绝192.168.1.3这一个IP
0.0.0.0—通配符(32位二进制构成):0代表不可变,1代表可变
192.168.1.3 0.255.0.255
192.X.1.X
3.接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)——需要注意流量的流向,IN—流入 OUT——
流出
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000—接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)—查看ACL列表的规则
注意:基础ACL的配置位置,尽量靠近目标
尽量避免误伤
1.创建ACL
[r2]acl 2000
2.给ACL列表写规则
acl number 2000
rule 5 deny source 192.168.1.3 0
3.接口调用—注意调用位置
traffic-filter outbound acl 2000
5—步长值(ACL列表默认步长为5)
另一方面,为了便于规则之间插入一些规则
[r2-acl-basic-2000]undo rule 10 -----删除规则
NAT—网络地址转换
IPV4地址不够用
NAT
ABC—三类地址中截取了一部分地址(并且让这部分地址可以重复使用)—私网地址
A类地址中:10.0.0.0-10.255.255.255 (A类地址掩码8)——1条A类网段
B类地址中:172.16.0.0-172.31.255.255 ——16条B类网段
C类地址中:192.168.0.0—192.168.255.255—256条C类地址
让这些IP地址可以重复使用
NAT的配置—配置位置都是在边界路由器的出接口上进行配置
静态NAT
在边界路由器上手工建立维护一张静态的NAT映射表(公网IP地址和私网IP地址之间的
对应关系),并且这种关系是一一对应的
[r2-GigabitEthernet0/0/2]nat static global 23.0.0.1 inside 192.168.1.2
Error: The address conflicts with interface or ARP IP.
[r2-GigabitEthernet0/0/2]nat static global 23.0.0.3 inside 192.168.1.2
23.0.0.3—漂浮地址(合法)——目前来说必须在公网网段范围内
[r2]display nat static—查看静态NAT的配置
动态NAT—多对多的NAT
1.创建公网地址组—这些公网地址必须连续。
[r2]nat address-group 0 23.0.0.3 23.0.0.5
2.抓取流量
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
3.接口调用NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat —不按照端口转换的
原则执行
NAPT—easy IP
383
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
