筆記 基本ACL 、 高級ACL
阿新 • • 發佈:2018-03-02
ACL 高級ACL 內容回顧:
-類型:
網絡
IP
規模越來越大
浪費越來越嚴重
IP地址空間有限
-公有地址|私有地址 (NAT)
-子網劃分
-IPv6
內網:私有地址 -通信 私有地址沒有資格在 Internet 流通; 出去,但是回不來 讓企業的數據包在出去的時候, 攜帶的並不是內部的私有地址, 而是自己花錢買的公網IP地址; 數據在傳輸過程中,IP地址是永遠不會變化的(默認情況下)。 數據在傳輸過程中,MAC地址是隨時變化的,每經過一個網段,都會 變化一次。 NAT: 將內網的數據包中的源IP地址,轉換為購買的公網IP地址; NAT工作的時候,是依靠一個核心工作表: NAT轉換表; 私有地址1 ----- 公有地址1
NAT:network address translation
靜態NAT:
在邊界設備上,手動的創建 NAT 轉換條目;
私有:公有 ===== 1:1
動態NAT:
在邊界設備上,設備基於數據包觸發而形成的 NAT 轉換條目,
不需要人工幹預。如果一個NAT轉換條目在一段時間之內不使用,
在會自動的在 NAT 轉換表中自動刪除;
-基本動態NAT 私有:公有 ===== 1:1 -P-NAT(端口復用) 私有:公有 ===== N:1 問題: 內網主動ping外網,是可以通的; 反之,則不通。 原因: in 路由表 NAT表 out
NAT高級應用:
端口映射
ip nat inside source static tcp 192.168.1.1 23 100.1.1.1 10011
ACL:access control list ,訪問 控制 列表
-作用:
匹配感興趣的流量。
-實現:
#規則
#動作(允許/拒絕)
#事件
-表示:
ID
# name
-類型:
#標準ACL/基本ACL
ID
name
#擴展ACL/高級ACL
ID
name
ACL的配置思路:
0、確保原有數據的連通性(基於現網需要來確定); 在沒有實施ACL之前,PC-1 與 PC-2 之間是互通的; 1、查看設備上已經存在的ACL [R1] display acl [2000] | all 2、創建ACL [R1] acl 2000 [match-order {config} | {auto} ] [R1-acl-basic-2000] rule [id] deny source 192.168.10.1 0.0.0.0 3、調用ACL [R1]interface gi0/0/0 [R1-gi0/0/0]tranffic-filter inbound acl 2000 4、驗證、測試、保存 display acl 2000 //查看ACL的配置條目信息; display traffic-filter applied-record //查看ACL的調用信息; display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound //查看特定端口上調用的ACL的使用信息; ping x.x.x.x save
實驗拓撲圖:
PC-1 ---> PC-2
#研究清楚流量的轉發路徑(來回路徑)
&幹掉去的流量
&幹掉回的流量
#研究流量本身(特點+結構)
L2 + L3 + ICMP + FCS
ip-acl
L3
source-ip + destination-ip
基本ACL
-僅僅關註IP頭部中的 source-ip ;
高級ACL
-可以同時關註 source 和 destination ,
並且,還可以關註 IP 頭部後面的內容,
比如 TCP/UDP
====================================================================
刪除ACL:
1、正確的刪除姿勢
#首先解除 ACL 調用關系
Interface gi0/0/0
undo traffic-filter inbound
#其次刪除 ACL 條目本身
undo acl 2000
#最後刪除的最終結果
2、當調用一個不存在的 ACL 時,表示的是允許所有;
註意:
1、同一個端口的,同一個方向,只能同時存在一個 ACL ;
2、如果想更改端口上調用的 ACL ,必須:
首先,刪除端口上的 ACL 調用命令;
再次,重新調用一個新的 ACL ;
3、端口上的 ACL ,不允許直接覆蓋;
4、華為中的ACL,沒有匹配住的流量,默認是允許的;
5、基本ACL/標準ACL,強烈建議調用在“距離目標設備”近的地方;
3層ACL
基本ACL
數字ACL
命名ACL
高級ACL
數字ACL
命名ACL
2層ACL
1、命名的ACL在創建的時候,需要指定類型;
2、在ACL中,如果不寫 source 或者不寫 destination ,則表示所有源或目標
3、在配置ACL的過程中,如果在輸入 source 或 destination 的時候,直接回車
則代表“所有”;
=================================================================
R2:PC1-PC2不通,其他全部互通;
1、創建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
destination 192.168.10.1 0.0.0.0
2、調用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、驗證、測試、保存
display acl 3000
display traffic-filter applied-record
PC2:
ping 192.168.10.1 ,no
ping 192.168.10.3 ,yes
PC4/5:
ping x.x.x.x , yes
<R2>save
R2:PC4/5與全網其他主機互通,其他流量全部不通;
1、創建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule 100 deny ip
2、調用ACL
[R2]interface gi0/0/0
[R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
3、驗證、測試、保存
===============================================================
小實驗配置需求:
1、PC-1與PC-2之間的任何類型的流量都無法互通;
2、PC-3可以 ping 192.168.30.88(server-2),但是無法 ping www.ntd1711.com ;
3、PC-4與PC-3之間的任何類型的流量都無法互通;
4、Client-1 可以 ping www.ntd1711.com,但是無法通過自帶的瀏覽器打開
Server-2中的 web 功能(即,www.ntd1711.com)
秘訣:
想要控制流量,必須先認識流量的封裝方式、使用的協議;
想要控制流量,必須先認識流量的轉發路徑和方向;
筆記 基本ACL 、 高級ACL