ACL( access control list)访问控制列表,用来实现数据包识别功能
实现:包过滤防火墙,NAT(network address translation,网络地址转换),
QoS(Quality of Service。服务质量)的数据分类,路由策略和过滤,按需拨号
包过滤,对进出的数据包逐个过滤,丢弃或允许通过,packet-filter,需在接口下调用(默认允许所有)
结合其他协议(nat qos 策略路由等)实现地址范围匹配(默认拒绝所有)
ACL应用于接口上,每个接口的出入双向分别过滤
仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
ACL的标识
利用数字序号标识访问控制列表:
基本访问控制列表,数字序号2000~2999
高级访问控制列表,数字序号3000~3999
基于二层的访问控制列表,数字序号4000~4999
可以给访问控制列表指定名称,便于维护
--------------------
基本ACL:只能匹配报文的源ip地址
高级ACL:能匹配报文的源、目标ip,源、目标端口等
二层ACL:能匹配二层的mac地址
---------------
基础acl
acl basic 2000
rule deny source 192.168.8.2 0.0.0.0-----基本acl只能匹配源地址,这条命令代表精确匹配,拒绝源地址访问
packet-filter 2000 inbound------包过滤,区分入方向和出方向,需要进入接口,将acl调用在接口入方向
display acl 2000
-------------
高级acl
acl advanced 3005
rule deny tcp source 192.168.2.0 destination 172.16.1.2 0 destination eq telnet\23
int g0/0
packet-filter 3005 inbound
---rule deny icmp source 192.168.8.3 0 destination 172.16.1.3 0
一个ACL里面可以有多条规则,当有多条rule规则,从上往下依次执行(按编号)
time range name1 08:00 to 17:00 daily(每天生效)
--------------
二层acl
拒绝源mac报文进入R1
acl mac 4005
rule deny source-mac mac1 ffff-ffff-ffff(表示精确匹配此字段)
[R1]int g0/0
packet-filter mac 4005 inbound
NAT
(network address transition,网络地址转换)在路由器中,将内网IP地址固定地转换为外网IP地址
静态NAT
配置一(一对一):
int g0/1
nat static enable
int static outbound 192.168.8.2 12.1.1.1
配置二:
acl basic 2000 (可选,如不配置acl默认允许所有)(指定允许nat转换报文的范围)
rule 0 permit source 192.168.8.0 0.0.0.255
nat address-group 1(定义公网地址池范围,12.1.1.5-12.1.1.8)
address 12.1.1.5 12.1.1.8
int g0/1(在接口下配置nat)
nat outbound 2000 address-group 1 no-pat(no-pat不进行端口转换,静态一对一转换)
dis nat static
动态NAT
network address port translation,网络地址端口转换,支持N个用户同时转成几个公网地址
acl basic 2000
rule 0 permit source 192.168.8.0 0.0.0.255
nat address-group 1
address 12.1.1.5 12.1.1.5(只有一个公网地址)
int g0/1(公网接口,在接口下配置nat)
nat outbound 2000 address-group
1-65535用端口区分不同用户,外网无法访问内网
dis nat session brief
基于接口Easy-IP NAT
适用于接口地址不固定的接口,目前最常用
acl basic 2000
rule 0 permit source 192.168.8.0 0.0.255
int g0/1
nat outbound 2000
直接使用出接口的ip地址作为转换后的源地址,不用预先配置地址池,适用于拨号接入internet或动态获得ip地址的场合
服务器端口映射
将内网服务器的端口映射到公网,外网通过访问公网端口访问内网服务器
int g0/1
nat server protocol tcp global current-interface(ip地址) 23 inside 192.168.8.4 23((将内网址的端口映射成外网端口)
NAT ALG
application level gateway ,应用层网关,主要完成对应用层报文的解析和处理,对FTP等上层应用需要做ALG处理
通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理
nat alg {all,dns,ftp....}默认所有协议类型的NAT ALG功能均处于开启状态
reset nat session