ACL概述
- 访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
- ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具;
- ACL除了能够对报文进行匹配,还能够用于匹配路由;
- ACL是一个使用非常广泛的基础性工具,能够被各种应用或命令所调用。
ACL的应用场合:
- 匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
- 在Traffic-filter中被调用
- 在NAT中被调用
- 在路由器路由策略中被调用、在IPSec VPN中被调用、在防火墙的策略部署中被调用、在Qos中被调用、其他….….
1、ACL的标识种类
①:利用数字标识
②:利用名称标识
种类 | 数字标识范围 |
基本(basic acl) | 2000-2999 |
高级(advanced acl) | 3000-3999 |
二层ACL | 4000-4999 |
自定义ACL | 5000-5999 |
wildcare:通配符
通配符的概念:通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特为需要严格匹配,哪些比特位则无所谓,通配符通常采用类似网络掩码的点分十进制形式表示。
NET
NAT(Network Address Translator)的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。
NET的技术背景
- IPV4地址耗尽
- 局域网用户普遍使用是由IV4地址,如何访问公网?
- 局域网中使用是由IPV4地址的服务器如何对公网提供服务?
- 若需要对外隐藏内网的IP,同时内网的特定服务器有需对外提供服务该如何实现?
NET的优缺点
NET的类型
- 静态NAT
实现了私有地址和公有地址的一对一映射;一个公网IP只会分给唯一且固定的内网主机
- 动态NAT
是基于地址池来实现私有地址和公有地址的转换
- NAPT(网络地址端口转换)
允许多个内部地址映射到同一个公有地址的不同端口
- Easy Ip
允许将多个内部地址映射到网关接口低智商的不同端口
实验一:
下面是webserver配置:
下面进行各部分配置:
声明ACL 2000并配置允许通过的网段
配置IP地址并设置nat中server模式
进接口激活outbound 2000 命令
因为nat完成了IP地址映射,所以不需要配置静态路由。
下面进行测试:
内网pc可以访问webserver
内网pc和webserver可以访问外网client
client可以访问内网webserver
实验二:
首先到这就实现了全网互通,可以检查下:
可以发现已经实现(pc2同样可以)
下面是要求2的实现:
可以发现vlan10 和20不通了
下面是实现第三步的实现: