ACL概述: ACL: access list 访问控制列表
ACL两种应用:
-
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
-
应用在路由协议-------匹配相应的路由条目
-
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流 (匹配上我设置的 数据流的
工作原理:
当数据包从接口经过时,由于接口启用了acl, 此时路由 器会对报文进行检查,然后做出相应的处理
AVL种类:
编号2000-2999---基本ACL----依据依据数据包当中的 源IP地址匹配数据(数据时从 哪个IP地址 过来的)
编号3000-3999---高级ACL----依据数据包当中源、目 的IP,源、目的端口、协议号匹配数据 编号4000-4999---二层ACL,MAC、VLAN-id、 802.1q
ACL的书写格式:
acl 2000 ##新建表格,将你设置的过滤条件放入这个表格
rule permit deny source 匹配条件(IP地址) 通配符(用来控制匹配的范围) ##添加条件
#通配符:根据参考ip地址,通配符“1”对应位可 变,“0”对应位不可变,0/1可以穿插
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
实际操作:
R1 设置:
先配置地址
int g0/0/0 ip address 192.168.1.254 24
int g0/0/1 ip address 192.168.2.254 24
int g0/0/2 ip address 192.168.3.254 24
后建立ACL 调用acl
acl 2000 ##基本acl 列表
rule 5 deny source 192.168.1.1 0 ##默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000 ##数据流向
ACL(访问控制列表)的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配原则:
1. 一个接口的同一方向,只能调用一个acl
2. 一个 acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3. 数据包一单被某rule匹配,就不再继续向下匹配
4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT:
工作机制:
一个数据包从企业内网去往公网时,路由器将数据包当中源ip(私有地址),翻译成公网地址
静态nat:
手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
步骤:
给两台主机配置IP地址、子网掩码、网关地址
在企业出口路由器上的 g0/0/1和 g0/0/0口中完成ip地址配置
int g0/0/1
ip address 200.1.1.1 24
int g0/0/0
ip address 192.168.1.254 24
进入int g0/0/1
nat static enable ##在接口下使能NAT Static功能
nat static global 200.1.1.100 inside 192.168.1.1 ##将公网地址200.1.1.100 与私网地址192.168.1.1 绑定
NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
配置好ip地址
企业出口路由器需要配置默认路由
在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 24
nat server protocol tcp global current-interface www inside 192.168.1.100 www
Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000
