ACL、VLAN、NAT笔记

一、ACL ---访问控制列表

1.ACL的作用

1，访问控制：在路由器流量流入或流出的接口上，匹配流量，然后

执行设定好的动作。 ---- permit 允许 , deny 拒绝

2，抓取感兴趣流：ACL可以和其他服务结合使用。ACL只负责匹配流

量，其他服务则对匹配上的流量执行对应的动作。

ACL的匹配规则：自上而下，逐一匹配，如果匹配上，则按照对应的动作

执行，不再向下匹配。

思科体系的设备：在ACL列表末尾隐含一条拒绝所有的规则

华为体系的设备：在ACL列表末尾隐含一条允许所有的规则

2.ACL列表的分类

基本ACL --- 仅关注数据包中的源IP地址

高级ACL --- 不仅关注数据包中的源IP地址，还会关注数据包中的目

标IP地址，以及协议和目标端口号

二层ACL

用户自定义ACL

需求一：PC1可以访问PC3和PC4，但是PC2不行

基本ACL的位置原则：因为基本ACL只关注数据包中的源IP地址，故调用时

尽可能的靠近目标，避免对其他地址访问造成误伤。

1). 创建一张ACL列表

[r2]acl ?

INTEGER<2000-2999> Basic access-list(add to current using rules)

---- 基本ACL

INTEGER<3000-3999> Advanced access-list(add to current using rules)

---- 高级ACL

INTEGER<4000-4999> Specify a L2 acl group

--- 二层ACL

ipv6 ACL IPv6

name Specify a named ACL

number Specify a numbered ACL

[r2]acl 2000

[r2-acl-basic-2000]

2). 在ACL列表中添加规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 --- 通配符 --- 0代表不可变，1代表可变 --- 通配符中0和1可以穿插使用

[r2-acl-basic-2000]rule permit source any --- 允许所有

[r2]display acl 2000

华为默认以5为步调，自动添加ACL的规则的序号。其目的在于匹配规则是从上向下按顺序匹配，这样便于在其中插入规则。

[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自定义序号添加规则

[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则

3).在接口上调用ACL列表

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

注意：在一个接口的一个方向上，只能调用一张ACL列表。

需求二：要求PC1可以访问PC3，但是不能访问PC4

高级ACL的位置原则：因为高级ACL是精准匹配，不会造成误伤，所以，在

调用时应该尽量靠近源目标，避免造成额外的链路资源浪费。

[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表

[r1-acl-adv-aa]

[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0

destination 192.168.3.3 0.0.0.0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa --- 通过重命名的方式调用ACL列表

需求三：要求PC1可以ping通R2，但是不能telnet R2

telnet --- 远程登录协议

带外管理 --- 通过console接口连接console线对设备进行控制

--- 通过miniUSB接口连接MINIUSB线对设备进行控制

带内管理 --- 通过telnet管理路由器

--- 通过web界面管理路由器

--- 通过SNMP协议进行设备管理

telnet进行管理的前提条件

1，登录设备和被登录设备之间网络必须时联通的

2，被登录设备必须开启telnet服务

telnet ---- C/S架构 --- 被登录设备充当telnet服务器的角色，登

录设备充当telnet客户端的角色。 ---- TCP 23

路由器开启telnet服务的方法：

1，在AAA中创建用户名

[r2]aaa ---- 进入aaa服务

[r2-aaa]

[r2-aaa]local-user aa privilege level 15 password cipher

123456

Info: Add a new user.

[r2-aaa] --- 创建用户名和密码

[r2-aaa]local-user aa service-type telnet --- 设置用户服务类型

2，开启虚拟的登录端口

[r2]user-interface vty 0 4

[r2-ui-vty0-4]

[r2-ui-vty0-4]authentication-mode aaa

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0

destination 192.168.2.2 0.0.0.0 destination-port eq 23

二、VLAN

V --- 虚拟的

LAN --- 局域网 --- 地理覆盖范围较小的网络

MAN --- 城域网

WAN --- 广域网

LAN --- 广播域

VLAN --- 虚拟局域网 --- 交换机和路由器协同工作后，将原来的一个广播域逻辑上切分为多个

第一步：创建VLAN

[Huawei]display vlan --- 查看交换机上的VLAN信息

VID --- vlan ID --- 区分和标定不同VLAN ---- IEEE组织802.1Q标准 --- 12位二进制构成 --- 0 - 4095 其中，0和4095为保留号码，可以使用的取值范围为 1 - 4094

[Huawei]vlan 2 --- 创建VLAN

[Huawei]vlan batch 4 to 100 --- 批量创建VLAN

[Huawei]undo vlan batch 4 to 100 --- 批量删除

第二步：将接口划入VLAN

[Huawei]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type access --- 选择链路类型

[Huawei-GigabitEthernet0/0/1]port default vlan 2 --- 设置链路中通过VLAN

[Huawei]port-group group-member GigabitEthernet 0/0/3

GigabitEthernet 0/0/4

[Huawei-port-group] --- 将接口放入到接口组中

VID配置映射到交换机的接口，实现VLAN范围的划分 --- 物理VLAN/ 一层VLAN.

VID配置映射到数据帧中的MAC地址，实现VLAN范围的划分 --- 二层 VLAN.

数据帧中的类型字段标记着上层协议类型，和VID进行映射，则可以实现VLAN范围的划分 --- 三层VLAN.

交换机的转发原理：数据通过接口进入到交换机，交换机先看数据中的源MAC地址和接口的映射关系，顺便，将接口所对应的VID也进行记录。之后，看目标MAC地址，若目标MAC地址在MAC地址表中有记录且记录中的VID和源MAC对应的VID相同，则进行单播；否则，进行泛洪，泛洪范围为VID和源MAC地址对应VID相同的接口。

为了区分不同VLAN的数据，我们可以在数据上增加标签（TAG）。IEEE组织规定，在原数帧中源MAC地址和类型字段之间，增加4 个字节作为tag --- 包含12位VID。将符合这样要求的帧结构称为802.1Q 帧或tagged帧。将正常的帧结构称为untagged帧。

根据这个特性，我们将交换机和电脑之间的链路称为ACCESS链路。ACCESS链路只能通过untagged帧，并且，这些帧只能属于某一种特定的VLAN。我们把交换机和交换机之间的链路称为trunk链路（trunk干道），trunk干道中允许通过tagged帧，并且可以属于多个VLAN。

第三步：配置trunk干道

[Huawei]int g 0/0/5

[Huawei-GigabitEthernet0/0/5]port link-type trunk

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan ?

INTEGER<1-4094> VLAN ID

all All

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3

第四步：VLAN间路由 --- 单臂路由

子接口 --- 路由器的一种虚拟接口，将一个物理接口，逻辑上划分为多个虚拟接口

1，创建子接口

[r1]int g 0/0/0.2

[r1-GigabitEthernet0/0/0.2]

2，配置子接口

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义子接口管理的VLAN

[r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP 广播

三、NAT

--- 网络地址转换 --- 基本作用就是实现私网IP地址和公网IP地址之间的转换。

1.NAT分类

静态NAT

动态NAT

NAPT

端口映射

静态NAT --- 一对一NAT

静态NAT简单来说，就是通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表反应了公网IP地址和私网IP 地址之间一一对应的映射关系。

静态NAT配置：

[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2

1，必须属于公网IP地址网段中的一个

2，必须是花钱从运营商处买来的地址

这个地址我们称 --- 漂浮地址 --- 当通过ARP请求一个漂浮地址时，它将返回其对应物理接口的MAC地址。

[r2]display nat static --- 查看静态地址映射表

动态NAT --- 多对多

动态NAT的配置：

1，创建公网IP组

[r2]nat address-group 0 12.0.0.4 12.0.0.8

公网IP地址必须是连续的并且是经过ISP授权的。

2，利用ACL抓取感兴趣流

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0

0.0.255.255

3，将公网IP组和ACL抓取的流量对应

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0

no-pat

注意：动态NAT需要加no - pat

动态NAT在同一时间内其实也是一个一对一的NAT，当上网流量过大时，将会造成延迟升高的现象。

NAPT ---- 网络地址端口映射 --- PAT

可以实现一个公网IP地址对应多个私网IP地址的效果，最多同一时间允许通过65535个数据包。 ---- 一对多的NAT ---- EASY IP

NAPT也可以实现多对多的NAT，每一个公网IP地址同一时间都可以通过65535个数据包。

EASY IP 配置：

1，利用ACL抓取感兴趣流

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0

0.0.255.255

2，在接口上配置EASY IP

[r2-GigabitEthernet0/0/2]nat outbound 2000

多对多的NAPT配置：

1，创建公网IP组

[r2]nat address-group 0 12.0.0.4 12.0.0.8

公网IP地址必须是连续的并且是经过ISP授权的。

2，利用ACL抓取感兴趣流

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0

0.0.255.255

3，将公网IP组和ACL抓取的流量对应

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0

端口映射：

[r2-GigabitEthernet0/0/2]nat server protocol tcp global

current-interface 80 inside 192.168.1.10 80

Warning:The port 80 is well-known port. If you continue it

may cause function failure.

Are you sure to continue?[Y/N]:y

[r2-GigabitEthernet0/0/2]nat server protocol tcp global

current-interface 8080 inside 192.168.1.20 80