本文介绍了ACL(访问控制列表)的基本概念,包括其用于过滤数据包的规则和分类。详细阐述了基本ACL与高级ACL的区别,并提供了配置示例,如拒绝特定源IP地址的流量。同时,讨论了ACL的调用方向,分为进入接口和出接口两种情况。此外,还提到了NAT(网络地址转换)的配置,包括静态NAT的设置,用于将内网地址转换为公网地址以供外部访问。
一.Acl是什么?Acl怎么用
1. ACL即Access control list 访问控制列表是由permit,deny组成的一系列有顺序的规 则集合。
2.. 这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过 匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些 数据包需要拒绝。
2. 照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使 用报文的源IP地址、时间段信息来定义规则,编号范围为2000——2999。
二,如何访问控制列表的调用方向?
调用方向进入接口:流量将要进入本地路由器,将被本地路由器处理
出接口:已经被本地路由器处理过了,流量将离开本地路由器
三,主要代码
1.建立acl 2调用acl
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向-------- 当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
-----------------------
没有被acl匹配数据默认采用permit动作
-----------------------
基本acl需要调用在离目的设备最近的接口上
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
sysname R2
acl 2000 创建acl列表
ip add 192.168.3.254 24
rule 5 deny source 192.168.3.254 0 默认编号5 拒绝 来自192.168.1.1 的流量
然后进入g0/0/1接口
traffic-filter outbound acl 2000(调用acl接口)
如果是traffic-filter inbound acl 2000则在进入的端口配置
即ip add 10.0.12.0 24 (新加ip地址即g0/0/0接口)
rule 5 permit source 192.168.1.1 0
traffic-filter inbound acl 2000 流量将进入本地路由器被本地路由器处理
最后AR1要经过AR2需要静态配置
IP route-static 下一跳地址(目标网段 子网掩码 下一跳地址)回来时两条线路则需要配置两回
高级NAT配置即将一个内网转化为公网用来访问服务器
nat static enable
nat static global 200.1.1.100(公网)inside 192.168.1.1
将内部地址192.168.1.1/24的80端口静态转换为公网地址200.1.1.11的80端口,以便被外网(Client1)访问。
将内部地址192.168.1.2/24的21端口静态转换为公网地址200.1.1.11的21端口,以便被外网(Client1)访问。
interface 0/0/1
nat server protocol tcp global 200.1.1.11 80 inside 192.168.1.1 80 (端口)
nat server protocol tcp global 200.1.1.11 21 inside 192.168.1.2 21 (端口)
display nat server1 查看一下
扫一扫
3610
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
