ACL:访问控制列表
- 访问控制-------在路由器的入或者出接口上,匹配流量,之后产生动作-----只有允许或拒绝
- 定义感兴趣流量------帮助其他策略去抓流量
匹配规则:至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科体系中,末尾隐含拒绝所有,在华为体系中,末尾隐含允许所有。
分类:
标准-----仅关注数据包中的源IP地址
扩展-----关注数据包中的源IP 目标IP 协议号 端口号
标准acl:由于标准ACL仅关注数据包中的源IP地址,故调用时尽量靠近目标,避免对其他地址的访问被误杀。
2000-2999: 标准acl的编号
3000-3999: 扩展acl的编号
每一个编号都代表一张表,一张表中可以容纳大量的acl具体规则。
[R2]acl 2000 创建acl 编号为2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝源IP为 192.168.1.2
在匹配地址时,需要使用通配符
ACL的通配符和OSPF的反掩码唯一区别在于可以进行0 1 穿插
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
规定允许 192.168.2.0/24网段通过
[R2-acl-basic-2000]rule permit source any 规定允许所有网段通过
[R2]interface g 0/0/1 进入需要调用acl的接口
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上 调用 acl2000
扩展-----关注数据包中的源IP 目标IP 协议号 端口号
由于扩展ACL对流量进行了精确匹配,故可以避免误杀,因此,调用时,尽量靠近源。
1,关注数据包中源IP 目标IP
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
规定 拒绝 源为 192.168.1.2 向 目标 192.168.3.2 的IP行为
[R1]interface g 0/0/1 进入相关接口
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 在该接口的进入方向上 调用acl3000
2.在关注源IP 目标IP 的同时,再关注目标端口号
Telnet 远程登录 基于TCP 23端口
条件:
1.登录设备与被登录设备之间必须可达
2.被登陆设备需要开启telnet设定
[R1]aaa 开启aaa服务
[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的账户,权利等级为15 密码123456
[R1-aaa]local-user MXY service-type telnet 定义该账户类型为telnet
[R1]user-interface vty 0 4 创建虚拟通道 开放五个窗口
[R1-ui-vty0-4]authentication-mode aaa定义该通道服务于aaa服务
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23
规定 拒绝 源 192.168.1.10 向 目标 192.168.2.1 基于tcp协议的端口号为23行为
[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 规定 拒绝 源 192.168.1.10 向目标 192.168.1.1 的icmp行为
NAT:
公有------全球唯一性,可以在互联网中通讯,付费使用
私有------本地唯一性,不可在互联网中通信,免费试用
私网地址:
A类:10.0.0.0---10.255.255.255
B类:172.16.0.0-----172.31.255.255
C类:192.168.0.0---192.168.255.255
NAT----网络地址转换,在边界路由器上,进行公有和私有IP地址间的转换
NAT的分类:静态NAT 动态NAT NAPT 端口映射
华为设备配置NAT必须在边界路由起的出接口上进行配置。
静态NAT
通过配置在边界路由器上建立维护一张静态地址映射表,静态地址映射表反映了公有IP地址和私有IP地址之间一一对应的关系。
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2 将 公网地址 12.1.1.3 和 私网地址 192.168.1.2 相互映射
[R2]display nat static 查看nat映射关系
动态NAT:动态NAT和静态NAT的最大区别就在于地址映射表的内容是可变化的,而不是写死的,所以,冬天NAT不再是一对一的关系而是实现多对多的转换。
动态NAT在同一时间,还是一个公网IP对应一个私网IP。所以当上网需求较大时,便只能排队使用,造成延时上升。
为了解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上,再维护一张源端口和私网地址的映射关系的表,因为端口号的取值范围时0-65535,即65536个 ,所以一个公网地址同时支持通过的数据包数量最大为65536个。当上网需求非常大时,一个公网地址可能不够用了,我们也可以同时使用多个公网地址,从而实现65536的倍数增长,形成多对多。
像这种以端口进行分辨的一对多,我们称之为----NAPT
一对多的NAPT在华为体系中又被称之为 EASY-IP
一对多:
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
创建acl2000,定义源IP以 192.168开头的所有地址 为感兴趣流量
[R2-GigabitEthernet0/0/1]nat outbound 2000 在边界路由起的出接口的出方向上,将acl2000调用于NAT
多对多:
[R2]nat address-group 1 12.1.1.3 12.1.1.10 创建公网地址池,其中包含 12.1.1.3----12.1.1.10
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 将acl2000抓捕的流量交给公网地址池1 进行nat转换
No-pat ---添加 则为静态多对多 不添加 则为 动态多对多
静态多对多---多个一对一
动态多对多---多个一对多
端口映射:
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
将该接口的80端口 基于协议的tcp 协议映射于 私网地址 192.168.1.10 的80端口
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80 将该接口的8080端口 基于协议的tcp协议 映射于 私网地址 192.168.1.20的80端口
