目录
一.ACL
1.ACL简介
ACL:(access list)访问控制列表。是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度的保障网络安全。
2.ACL功能
①.限制网络流量、提高网络性能。
②.提供对通信流量的控制手段。
③.提供网络访问的基本安全手段。
④.在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
3.ACL应用
ACL两种应用:
①.应用在接口的ACL-----过滤感兴趣的数据包(原目ip地址, 端口,五元组)
②.应用在路由协议-------匹配相应的路由条目
③.NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
4.ACL工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
5.ACL种类
①.编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
②.编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
③.编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
6.ACL格式
①.掩码、反掩码:必须是连续的1或者0
通配符掩码:可以不是连续的1或者0(0 1可以穿插)
②.子网掩码:1代表不可变,0带边可变
通配符掩码:0代表不可变,1带边可变
acl 2000
#新建表格,将你设置的过滤条件放入这个表格
rule permit | deny source 匹配的条件(ip地址) 通配符掩码(用来控制匹配的范围)
#添加条件
#案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
#案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
#案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
7.实验
过滤掉192.168.1.1一个PC访问www流量
过程:
#先配置Client1,Client2和Server1,Server1的IP地址和网关
#再配置AR1的g0、g1、g2端口IP地址
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.3.254 24
#创建ACL列表
[Huawei]acl 2000
#拒绝来自192.168.1.1的流量
[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0
##数据流向
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
结果:
注意:
在接口下调用acl 分为两个方向
inbound方向:当接口收到数据包时执行ACL
outbound方向:当设备从特定接口向外发送数据时执行ACL
没有被acl匹配数据默认采用permit动作
基本acl需要调用在离目的设备最近的接口上
二.NAT
1.NAT简介
NAT(网络地址翻译):是指网络地址转换。旨在通过将一个外部IP地址和端口映射到更大的内部IP地址集来转换IP地址。
2.NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址)翻译成公网地址。
3.静态NAT
实验:将一个私有地址和一个公网地址进行关联。
过程:
过程:
#配置PC1、PC2的IP地址,子网掩码和网关
#配置AR2的g0端口IP地址
#配置AR1的g0、g1端口IP地址
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 200.1.1.1 24
#在g0接口中,将私网地址192.168.1.1和公网地址200.1.1.100做映射
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat static enable
[Huawei-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1
#注意:这里接口地址不能使用网关地址
结果:
4.NATPT
NATPT(端口映射)
实验:
过程:
#配置pc1和pc2的IP地址,子网掩码和网关
#配置Server1、Client1的IP地址和网关
#设置AR1、AR2的的端口IP地址
#设置AR1的默认路由
#设置AR1的IP地址映射
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface ww
w inside 192.168.1.100 www
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
结果: