一.ACL的应用
ACL两种应用
-
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
-
应用在路由协议-------匹配相应的路由条目( )
-
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
ACL工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类
1.编号2000-2999——基本ACL——依据数据包当中的源IP地址匹配数据(数据从哪个IP地址过来的)
2.编号3000-3999——高级ACL——依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
3.编号4000-4999——二层ACL——MAC,VLAN-id、802.1q
基本acl的书写格式 源ip
acl 2000 新建表格
rule permit deny source 192.168.1.1(ip地址例) 通配符掩码
利用ip地址+通配符流量
子网掩码:必须是连续的1
反掩码:必须是连续的0
通配符掩码:0和1可以不连续
rule 5 premit source 192.168.1.0 0.0.0.255
ACL(访问控制列表)的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
1、一个接口的同一方向,只能调用一个acl
2、一个acl里面可以有多个rule规则,按照规则id从小到大排序 ,从上往下依次执行
3、数据包一但被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
二.NAT
NAT(网络地址翻译)
一个数据包目的ip或者源ip为私网地址 , 运营商的设备无法转发数据
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
静态nat
192.168.1.1 201.0.0.1
192.168.1.2 201.0.0.2
工程手动将一个私有地址和一个公网地址进行关联,一一对应,缺点和静态路由一样
int g0/0/1
ip address 200.1.1.1 255.255.255.0
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 #注意不能直接使用 接口 地址200.1.1.1
动态NAT
nat address - group 1 200.1.1.10 200.1.1.15 #建立地址池
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 #给需要的地址转换的网段添加规则
int g0/0/1
nat outbound 2000 address - group 1 no-pat #添加规则
NATPT(端口映射)
NAT Server ------内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000
display nat session all