一.Acl是什么?Acl怎么用
1. ACL即Access control list 访问控制列表是由permit,deny组成的一系列有顺序的规 则集合。
2.. 这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过 匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些 数据包需要拒绝。
2. 照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使 用报文的源IP地址、时间段信息来定义规则,编号范围为2000——2999。
二,如何访问控制列表的调用方向?
调用方向进入接口:流量将要进入本地路由器,将被本地路由器处理
出接口:已经被本地路由器处理过了,流量将离开本地路由器
三,主要代码
1.建立acl 2调用acl
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向-------- 当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
-----------------------
没有被acl匹配数据默认采用permit动作
-----------------------
基本acl需要调用在离目的设备最近的接口上
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
sysname R2
acl 2000 创建acl列表
ip add 192.168.3.254 24
rule 5 deny source 192.168.3.254 0 默认编号5 拒绝 来自192.168.1.1 的流量
然后进入g0/0/1接口
traffic-filter outbound acl 2000(调用acl接口)
如果是traffic-filter inbound acl 2000则在进入的端口配置
即ip add 10.0.12.0 24 (新加ip地址即g0/0/0接口)
rule 5 permit source 192.168.1.1 0
traffic-filter inbound acl 2000 流量将进入本地路由器被本地路由器处理
最后AR1要经过AR2需要静态配置
IP route-static 下一跳地址(目标网段 子网掩码 下一跳地址)回来时两条线路则需要配置两回
高级NAT配置即将一个内网转化为公网用来访问服务器
nat static enable
nat static global 200.1.1.100(公网)inside 192.168.1.1
将内部地址192.168.1.1/24的80端口静态转换为公网地址200.1.1.11的80端口,以便被外网(Client1)访问。
将内部地址192.168.1.2/24的21端口静态转换为公网地址200.1.1.11的21端口,以便被外网(Client1)访问。
interface 0/0/1
nat server protocol tcp global 200.1.1.11 80 inside 192.168.1.1 80 (端口)
nat server protocol tcp global 200.1.1.11 21 inside 192.168.1.2 21 (端口)
display nat server1 查看一下