1.ACL背景
白名单:默认拒绝所有,放一个可以通讯有一个,自己内部的业务
黑名单:默认开放所有,加入一个,不能通讯一个(ARM:每分钟操作的频率,1000+ 有人恶意攻击你)
2.ACL种类
编号2000-2999---基本ACL----依据依据数据包当中的
源IP地址匹配数据(数据时从 哪个IP地址 过来的)
编号3000-3999---高级ACL----依据数据包当中源、目
的IP,源、目的端口、协议号匹配数据
编号4000-4999---二层ACL,MAC、VLAN-id、
802.1q
3.操作
基础:
int g0/0/0
ip address 192.168.1.254 255.255.255.0
int g0/0/1
ip address 192.168.2.254 255.255.255.0
int g0/0/2
ip address 192.168.3.254 255.255.255.0
1.建立ACL 2.调用ACL
acl 2000 #基本acl 列表
rule 5 deny source 192.168.1.1 0
默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000 #数据流向
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
int g0/0/0
traffic-filter inbound acl 3000
NAT(网络地址翻译)
int g0/0/1
ip address 200.1.1.1 255.255.255.0
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1
dis nat static
NATPT(端口映射)
在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000
总结: 1.掩码、反掩码-----0和1必须连续 ,通配符掩码-----0和1可以不连续
2.子网掩码 必须是连续的1
3.反掩码 必须是连续的0
4.通配符掩码 0和1可以不连续
5.通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
匹配规则:
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
