ACL
概述
acl是由一系列permit或deny语句组成、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
应用
匹配流量
在traffic-filter中备调用
在NAT中被调用
在路由策略中被调用
在QoS中被调用
(两种应用)【应用在接口的ACL---->(源目IP地址,源目协议/端口,五元组),应用在路由的协议----->匹配相应的路由条目。】
工作原理
当数据包从接口经过时,由于接口启用了acl,此时路与其会对报文进行检查,然后做出相应的处理(拒绝,接受)
种类
2000-2999--->基本ACL--->依据数据包当中的源目IP地址匹配数据(数据时从哪个IP地址过来的)【尽量用在靠近目的地】
3000-3999--->高级ACL--->高级ACL一句数据包当中的源、目的IP,源,目的端口,协议号匹配数据【尽量用在靠近源的地方(可以保护带宽和其他资源)】
ACL配置命令
ACL 2000 ## 创建基础ACL
rule permit (deny)source 1.1.1.1 ##添加规则允许、拒绝 源IP为1.1.1.1的地址
int g/0/0/1 ##进入要配置的端口
traffic-filter oubound (inbound)ACL 2000 # 在入口或出口调用ACL 2000 的规则
实验 PC1不可用访问serverPC2可以
给PC端配置IP地址子网掩码和网关
检测PC1和PC2是否都可以通server
在路由设置ACL不允许PC1访问serverPC2可以
NAT
作用与介绍
(NETWORK ADDRESS TRANSLATION 网络地址转换) 可以让内网访问外网,但外网无法访问内网。保护内网
数据包经过NAT设备从内网到外网和外网到内网的转换过程
NAT技术当内网数据包经过路由器,会将源地址转换成公网地址。
当公网的数据包经过路由器,NAT会将目的地址转换成内网地址。
NAT分类
①静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
②动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
NAT配置
静态nat配置
进入企业出口路由器static nat enable 开启静态nat
nat static global 1.1.1.1 inside 2.2.2.2 将静态nat私网地址1.1.1.1对应公网2.2.2.2
动态nat配置
nat address -group 1 200.1.1.10 200.1.1.15 #建立地址池
acl number 2000 #创建acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 #给需要地址转换的 网段添加规则
int g0/0/1 #进入g0/0/1接口i
nat outbound 2000 address-group 1 no-part #将添加的规则放在出口