访问控制列表:
算是一种工具
作用:选择(基于条件选择)
方向:入方向,出方向
构成:1.编号 华为(标准:2000-2999,高级:3000-3999) 思科(标准:1-99,高级100-199)
2.执行动作 :Permit / Deny
Rule permit/deny 源IP
3.匹配条件:标准(源IP地址:IP包头封装的源地址),扩展(IP报头包括:源IP,目标IP,协议。端口号:协议必须是TCP/UDP 只有这两个有端口号,不是源端口号就是目标端口号加访问控制)
Rule permit/deny 协议 + 源IP + 源端口 + 目标IP + 目标端口
rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.2 0 destination-port eq www/ftp
4.匹配规则:一个访问控制列表可以有多行,每一行按照序列大小进行从小到大的排序,从上到下进行匹配,一旦匹配某一行的条件,就执行对应的操作,离开访问控制列表的匹配
5.书写规则:
书写顺序决定了访问列表的存储顺序,存储顺序决定匹配顺序
精确的、明确的放在前面写,含糊的,概括的放在后面写
所有访问控制列表都设有一条隐藏的,华为 :有的地方允许一切,有的地方拒绝一切 ; 思科的:拒绝一切
访问控制列表永远不执行隐藏的条目
6.黑名单或白名单的方式编辑,如果是思科一些厂商的设备,删除访问控制列表之前一定做备份,没有序列号的时候,删除一行,整个防控全部删除
display acl 2000
undo rule 5
7.反掩码:0代表不可变化位 1代表可以变化位 0.0.0.255; 子网掩码:1代表网络位 0代表主机位 255.255.255.0
地址转换
1.为什么需要地址转换?解决IPv4地址不够用
2.分类:动态地址池转换(临时) -------------过度方案 用在运营商网络中 动态地址池转换+端口地址转换
静态地址转换(永久保留) ------------用在服务器测
端口地址转换(临时) -------------用在普通用户端
3.地址转换表:私有地址和公有地址转换关系
30-50台机房是一组