ACL
1.什么是ACL
访问控制列表(ACL) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
2.ACL应用
ACL两种应用:
- 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
- 应用在路由协议-------匹配相应的路由条目
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流
3.ACL工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
入方向:流量将要进入本地路由器,将要被本地路由器处理
出方向:已经被本地路由器处理过,流量将离开本地路由器
4.匹配规则
- 1、一个接口的同一个方向,只能调用一个acl
- 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
- 3、数据包一旦被某rule匹配,就不再继续向下匹配
- 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
5.ACL 访问控制列表类型
1.标准访问控制列表
- 只能基于源地址进行过滤
- 标准访问控制列表号是2000-2999
- 调用原则:靠近目标
2.扩展访问控制列表
- 可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤
- 相比较标准访问控制列表,流量控制的更精准
- 调用原则:靠近源
NAT
1.NAT简介
网络地址转化(NAT) 当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT工作机制 一个数据包从私网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址。
2.NAT优点
-
- 节省了公网IP地址
-
- 能够处理编址方案重叠的情况
-
- 网络发生改变时不需要重新编址
-
- 隐藏了真正的IP地址
3.NAT的命令
静态NAT
int 接口 //进入接口
ip address *.*.*.* * //网关 子网掩码
nat static enable //开启静态路由功能
//创建静态NAT以及映射表,将私网地址与公网地址做映射
nat static global *.*.*.*(公网) inside *.*.*.*(私网)
动态NAT
nat address-group 数字 ip地址 //建立地址池
acl number *
rule permit source 192.168.1.0 0.0.0.255 //给需要地址转换的 网段添加规则
NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
int 接口
ip address *.*.*.* *
//将私网地址映射到www(80)端口上
nat server protocol tcp global current-interface www inside (私网地址) www
Easy-IP
-
1.使用列表匹配私网的ip地址
-
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000 rule permit source 192.168.1.0 0.0.0.255 int g0/0/1 nat outbound 2000
