1. 程式人生 > >筆記 基本ACL 、 高級ACL

筆記 基本ACL 、 高級ACL

ACL 高級ACL

內容回顧:

網絡
IP
規模越來越大
浪費越來越嚴重
IP地址空間有限
-公有地址|私有地址 (NAT)
-子網劃分
-IPv6

內網:私有地址
-通信
     私有地址沒有資格在 Internet 流通;

     出去,但是回不來

     讓企業的數據包在出去的時候,
     攜帶的並不是內部的私有地址,
     而是自己花錢買的公網IP地址;

     數據在傳輸過程中,IP地址是永遠不會變化的(默認情況下)。

     數據在傳輸過程中,MAC地址是隨時變化的,每經過一個網段,都會
         變化一次。

     NAT:
        將內網的數據包中的源IP地址,轉換為購買的公網IP地址;

        NAT工作的時候,是依靠一個核心工作表:
                                             NAT轉換表;
                    私有地址1   -----  公有地址1

NAT:network address translation
靜態NAT:
在邊界設備上,手動的創建 NAT 轉換條目;

   私有:公有 =====   1:1

動態NAT:
在邊界設備上,設備基於數據包觸發而形成的 NAT 轉換條目,
不需要人工幹預。如果一個NAT轉換條目在一段時間之內不使用,
在會自動的在 NAT 轉換表中自動刪除;

   -基本動態NAT
            私有:公有  ===== 1:1

   -P-NAT(端口復用)
            私有:公有  ===== N:1

問題:
    內網主動ping外網,是可以通的;
    反之,則不通。

原因:

 in        路由表
           NAT表        out  

NAT高級應用:
端口映射

ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011  

ACL:access control list ,訪問 控制 列表

-作用:
匹配感興趣的流量。
-實現:
#規則
#動作(允許/拒絕)
#事件
-表示:

ID

   # name 

-類型:
#標準ACL/基本ACL
ID
name
#擴展ACL/高級ACL
ID
name

ACL的配置思路:

0、確保原有數據的連通性(基於現網需要來確定);
      在沒有實施ACL之前,PC-1 與 PC-2 之間是互通的;

1、查看設備上已經存在的ACL
      [R1] display acl [2000] | all 

2、創建ACL
      [R1] acl 2000 [match-order  {config} | {auto} ]
      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 

3、調用ACL
      [R1]interface gi0/0/0
      [R1-gi0/0/0]tranffic-filter inbound acl 2000
4、驗證、測試、保存

      display acl 2000 //查看ACL的配置條目信息;
      display traffic-filter applied-record //查看ACL的調用信息;
      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
                       //查看特定端口上調用的ACL的使用信息;
      ping x.x.x.x
      save 

實驗拓撲圖:

PC-1 ---> PC-2 
   #研究清楚流量的轉發路徑(來回路徑)
        &幹掉去的流量
        &幹掉回的流量
   #研究流量本身(特點+結構)

          L2 +  L3 + ICMP + FCS 

              ip-acl 
                   L3 
                     source-ip  +  destination-ip 
                          基本ACL 
                               -僅僅關註IP頭部中的 source-ip ; 
                          高級ACL 
                               -可以同時關註 source 和 destination ,
                                 並且,還可以關註 IP 頭部後面的內容,
                                 比如 TCP/UDP             

====================================================================

刪除ACL:
1、正確的刪除姿勢
#首先解除 ACL 調用關系
Interface gi0/0/0
undo traffic-filter inbound

       #其次刪除 ACL 條目本身
           undo acl 2000 

       #最後刪除的最終結果

2、當調用一個不存在的 ACL 時,表示的是允許所有;

註意:
1、同一個端口的,同一個方向,只能同時存在一個 ACL ;

2、如果想更改端口上調用的 ACL ,必須:
   首先,刪除端口上的 ACL 調用命令;
   再次,重新調用一個新的 ACL ; 

3、端口上的 ACL ,不允許直接覆蓋;

4、華為中的ACL,沒有匹配住的流量,默認是允許的;

5、基本ACL/標準ACL,強烈建議調用在“距離目標設備”近的地方;

3層ACL
基本ACL
數字ACL
命名ACL
高級ACL
數字ACL
命名ACL
2層ACL



  1、命名的ACL在創建的時候,需要指定類型;
  2、在ACL中,如果不寫 source 或者不寫 destination ,則表示所有源或目標
  3、在配置ACL的過程中,如果在輸入 source 或 destination 的時候,直接回車
     則代表“所有”;

=================================================================

R2:PC1-PC2不通,其他全部互通;
  1、創建ACL
       [R2]acl 3000
       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
                                           destination 192.168.10.1 0.0.0.0
  2、調用ACL
       [R2]interface gi0/0/0 
       [R2-gi0/0/0]traffic-filter inbound acl 3000
  3、驗證、測試、保存
       display acl 3000
       display traffic-filter applied-record
       PC2:
          ping 192.168.10.1 ,no
          ping 192.168.10.3 ,yes
       PC4/5:
          ping x.x.x.x , yes 

       <R2>save

R2:PC4/5與全網其他主機互通,其他流量全部不通;
   1、創建ACL 
         [R2]acl name Only-PC4-5 advance 
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule 100 deny ip         
   2、調用ACL 
         [R2]interface gi0/0/0
         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
   3、驗證、測試、保存 

===============================================================

小實驗配置需求:
1、PC-1與PC-2之間的任何類型的流量都無法互通;
2、PC-3可以 ping 192.168.30.88(server-2),但是無法 ping www.ntd1711.com ; 
3、PC-4與PC-3之間的任何類型的流量都無法互通;
4、Client-1 可以 ping www.ntd1711.com,但是無法通過自帶的瀏覽器打開
   Server-2中的 web 功能(即,www.ntd1711.com)

   秘訣:
       想要控制流量,必須先認識流量的封裝方式、使用的協議;
       想要控制流量,必須先認識流量的轉發路徑和方向;

筆記 基本ACL 、 高級ACL