目录
【1】标准 --- 由于标准ACL仅关注数据包中的源ip地址;故调用时必须尽量的靠近目标;
【2】扩展列表配置 --由于扩展ACL 源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量;
一对多:多个私有ip地址对应同一个公有ip地址 PAT端口地址转换
ACL访问控制列表
作用:
1、访问控制
在路由器流量进或出的接口上,匹配流量产生动作---允许、拒绝
2、定义感兴趣流量
抓取流量,之后给到其他的策略,让其他策略进行工作;
访问控制
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;cisco系默认末尾隐含拒绝所有;华为系末尾隐含允许所有;
分类:
1、标准 --- 仅关注数据包中的源ip地址
2、扩展 --- 关注数据包中的源、目标ip地址,目标端口号或协议号
配置命令:
【1】标准 --- 由于标准ACL仅关注数据包中的源ip地址;故调用时必须尽量的靠近目标;
避免对其他流量访问的误删;
编号2000-2999 为标准列表编号,一个编号为一张表;
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]rule deny source any
动作 源ip地址
源ip地址需要使用通配符来匹配范围;通配符和反掩码的区别,在于通配符可以0与1穿插书写;
ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
【2】扩展列表配置 --由于扩展ACL 源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量;
[r1]acl 3000 扩展列表编号 3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标ip地址
源、目ip地址位置,使用通配符0标记一个主机,或使用反1标记段,或使用any均可
【3】使用扩展列表,同时关注目标端口号;
目标端口号:服务端使用注明端口来确定具体的服务;
ICMPV4 -- internet控制管理协议 -- ping
Telnet -- 远程登录 明文(不加密) 基于tcp,目标端口23;
条件:1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet 远程登录
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10 对192.168.1.1 访问时,传输层协议为tcp,且目标端口号为23;
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10 对192.168.1.1的ICMP访问
NAT
IPV4地址中,存在私有与公有IP地址的区别:
公有:具有全球唯一性,可以在互联网通讯,需要付费使用
私有:具有本地唯一性,不能在互联网通讯,无需付费使用
私有ip地址:
10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT网络地址转换
边界路由器上--连接外网的公有ip地址所在接口配置
边界路由器上,对进、出的流量进入源或目标ip地址的修改;
一对一 一对多 对多对 端口映射
一对多:多个私有ip地址对应同一个公有ip地址 PAT端口地址转换
先使用ACL定义可以被转换的私有ip地址范围
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2]int g0/0/2 公网所在接口;acl2000列表中关注的私有ip地址,通过该接口转出时,其源ip地址修改为该接口公有ip
[r2-GigabitEthernet0/0/2]nat outbound 2000
一对一的配置:
连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10
公有 私有
端口映射:
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
外部访问该接口ip-12.1.1.1且目标端口号为80时,将被修改为192.168.1.10目标端口80;
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80
外部访问该物理接口ip-12.1.1.1 且目标端口为8888时,将被修改为192.168.1.20 目标端口80;
多对多配置:
[r1]nat address-group 1 12.1.1.3 12.1.1.10 先定义公有ip地址范围
[r1]acl 2000 再定义私有ip地址的范围
[r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
最后在连接公网的接口上配置多对多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
私有 公有
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 一对一(多个一对一)
扫一扫
943
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
