ACL
ACL的原理及其配置:
ACL:access list 访问控制列表
作用:
1、对数据包的访问进行控制
2、对协议进行控制
ACL配置在路由器上,数据包从接口经过的时候,接口配置acl策略,路由器会根据策略,检查数据包,然后根据策略做出响应的处理。
ACL是一系列permit或deny组成的有序规则的列表。
ACL在接口上如何应用:
在入口:数据包从入口进入路由器,能不能进路由器。
在出口:数据包经过路由器处理之后,数据包能不能出去。
匹配源IP 目的IP 端口 协议
ACL种类:
基本ACL:2000-2999 只能匹配源IP地址
高级ACL:3000-3999 源IP 目的IP 源端口 目标端口,三层协议(icmp)和四次协议(tcp/udp/http/https)都可以支持
二层ACL:4000-4999,根据设备Mac地址匹配,如果设备更换,所有配置要重新写。
ACL使用原则:
基本ACL:尽量用在靠近目的地。
高级ACL:尽量使用在靠近源的地方。
基本acl语句:
rule 5 permit source 1.1.1.0 0.0.0.255
rule 5 deny source 1.1.1.0 0.0.0.255
子网掩码中 1 不可变 通配符中 1 为可变位
ACL应用规则和匹配顺序:
1、一个接口的同一方向只能调用一个ACL规则。
2、一个ACL可以有多个规则。规则的ID从小到大培训,从上到下依次执行。
3、数据包一旦被某条策略匹配就不再继续向下匹配,匹配机制
4、默认是放行所有(华为设备)。
NAT:网络地址转换
NAT配置在路由器上配置
NAT技术:内网到外网,源IP发生变化
外网到内网,目的IP发生
静态NAT(淘汰),不动,不变,需要手动修改。一个私有地址对于一个公网地址。
NAPT:端口多路复用。
主机数量太多:端口范围1-65535
设备性能问题:转发效率会降低。
Easy IP
静态nat
nat static 10.0.0.10 inside 192.168.1.10 netmast 255.255.255.255
int g0/0/2
nat static en
动态nat
nat address-group 1 10.0.0.100 10.0.0.200
acl 2000
rule permit source 192.168.1.10 0
int g0/0/2
nat outbound 2000 address-group 1 no-pat
Easy IP
所有访问的IP地址192.168.1.254:80就相当于访问12.0.0.10:80
nat server protocol tcp 指定nat服务的协议是tcp协议
global current-inter 80 指定区局的接口 192.168.1.254
inside 12.0.0.10 80 映射关系192.168.1.254:80=12.0.0.10:80
总结:
ACL种类和划分
基本ACL 2000-2999 源IP地址 尽量靠近目的
高级ACL 3000-3999 源IP 目的IP 源端口 目标端口 尽量靠近源端
匹配规则:从上到下,按照序号排列,按照从小到大排列。匹配到就不再向下匹配。
一个接口只能调用一个ACL
NAT核心:
内到外,源IP发生变化
外网到内网,目的IP变化