一、ACL
1、什么是ACL
ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
2、ACL的两种应用及匹配机制
①应用在端口的ACL,用于过滤数据包。
②应用在路由协议,匹配对应的路由协议。
匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效
3、ACL基本种类
2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理
3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理
4、ACL配置命令
①ACL 2000 ## 创建基础ACL
②rule permit(deny) source 1.1.1.1 ##添加规则允许、拒绝 源IP为1.1.1.1的地址
③int g/0/0/1 ##进入要配置的端口
④traffic-filter oubound(inbound) ACL 2000 ## 在入口或出口调用ACL 2000 的规则
二、NAT
1、NAT原理及作用
作用:通过对网络地址转换,实现内网地址和公网地址的互相访问
原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。
2、NAT分类
①静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
②动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
3、NAT配置
静态nat配置:
①进入企业出口路由器 static nat enable 开启静态nat
②nat static global 1.1.1. 1 inside 2.2.2.2将 静态 nat私网地址1.1.1.1对应公网2.2.2.2
动态nat配置:
①nat address-group 1 200.1.1.10 200.1.1.15 #建立动态nat地址池
②acl number 2000 #创建acl 2000
③rule 5 permit source 192.168.1.0 0.0.0.255 #设定规则来自192.168.1.0网段用户允许通过
④int g0/0/1 #进入g0/0/1端口
⑤nat outbound 2000 address-group 1 no-pat #将规则添加在出口
静态NAT实验
手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
拓扑如下:
手动配置PC机及服务器的IP地址;
路由器AR1上的静态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.0.254 8
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 100.0.0.1 8
[AR1-GigabitEthernet0/0/1]nat static enable
[AR1-GigabitEthernet0/0/1]nat static global 100.0.0.100 inside 10.0.0.1
[AR1]ip route-static 0.0.0.0 0 100.0.0.2 #配置默认路由
PC1通信测试:
PC2通信测试(没有给PC2的地址进行nat转换,所以PC2是ping不通www.baidu.com服务器的)
动态NAT实验
拓扑如下:
手动配置PC机及服务器的IP地址;
路由器AR1上的动态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.0.0.254 8
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 100.0.0.1 8
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2
[AR1]nat address-group 1 100.0.0.10 100.0.0.20
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 10.0.0.0 0.255.255.255
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
PC1与PC2通信测试: