ACL(访问控制列表)
复习(NAT)
一、NAT
1.私有IP地址
(1)为了减少地址浪费,开发了私有地址。
(2)私有IP地址只能在内网使用,禁止出现在公网上,且可以重复利用。
(3)私有IP地址范围
10.0.0.0/8
172.16.0.0 -- 172.31.0.0/16
192.168.0.0/16
2.公网IP地址
除私有IP外,全是公网IP地址。 要求:公网IP地址只能出现在公网 结果:如果某内网需要联网(上网),则必须购买公网IP地址。
内网转换外网地址 内网需要上网时,网关需要进行内外网地址转换,也就是NAT技术。
二、NAT原理
(1)做NAT前,必须指定内外网端口
(2)数据由内到外,路由器进行源地址转换
(3)数据由外到内,路由器进行目标地址转换
PAT(Port端口 Address Translator)
模拟互联网:不允许转发私有地址的数据。
三、路由优化
acc 1 permit 192.168.0.0 0.0.255.255(反子网掩码0为需要匹配、255代表不需要匹配)
ip route 192.168.0.0 255.255.0.0(正向匹配,255代表需要匹配,0代表不需要匹配) 192.168.8.2
access-list 1 permit 0.0.0.0 255.255 不用检查,任何都可以通过,也可以写为 acc 1 permit any
删除列表 no acc 1
ACL
一、ACL概述
1.简介
全称Access Control List。ACL,即访问控制列表,控制网络流量资源。
Access v.访问、加入;n.通道
Control控制
List列表
2.ACL的作用
ACL是一种包(即IP包)过滤技术。
3.ACL应用场景
可以在路由器上配置(用于路由器接口上),也可以在防火墙上配置。防火墙主要对三、四层进行防御。
路由器上叫ACL,防火墙上一般称为策略。
二、ACL怎么过滤?
ACL读取IP包头的IP地址、四层TCP/UDP头部的端口号。
ACL是基于数据包中的IP地址、端口号来对数据包进行过滤。
三、ACL分类
1. 标准ACL
标准——standard
表号:1-99或1300-1999
特点:只能基于源IP地址对包进行过滤。
2. 扩展ACL
扩展——Extended
表号:100-199或2000-2699
特点:可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤。
四、ACL的过滤原理
1. 配置ACL的小技巧
(1)先判断要控制的数据流源和目标,并画出控制数据流的方向,进而判断ACL可以写在哪些路由器上。
(2)打开那台路由器,开始编写ACL过滤规则
(3)最后将ACL表应用到某个接口的某个方向上才能生效。
2.ACL的原理
(1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效。
(2)一个接口的一个方向上只能应用一张表。(如果在端口int f0/1的进方向再配第二张表,第一张会自动脱落,保存在路由表中。)
(3)在所有ACL表上的最后都有一条隐藏的拒绝所有条目。即any deny。
(4)在匹配ACL时,是严格自上而下的匹配每一条的。匹配成功,则完成动作;没匹配成功,则继续匹配下一条,如果全部不匹配,则直接丢弃拒绝通过。
(5)标准ACL因为只能基于源IP对包进行过滤,所以建议写在靠近目标端的地方。
permit允许
deny拒绝