第七节
ACL:访问控制列表
访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则:
至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。
分类:
标准---仅关注数据包中的源IP地址
扩展---关注数据包中的源 目标IP地址 协议号 端口号
标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。
2000-2999 标准 3000-3999 扩展
注意:一个编码是一张规则,一张规则可以容纳大量具体的规则
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
ACL在地址匹配时,会使用通配符
255.255.255.0 0.0.0.255 他可以进行0 1 的穿插
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000
[R2-acl-basic-2000]rule permit source any 规定 允许 所有IP通过
[R2]ACL name classroomA
扩展ACL 关注数据包中的源IP以及目标IP
由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
在关注源/目标IP地址的同时,再关注目标端口号
Telnet---远程登录 基于TCP23号端口工作
条件:1.登录设备与被登陆设备之间必须可达
2.被登陆设备必须开启telnet设定
[R2]aaa 进入aaa服务
[R2-aaa]local-user ABC privilege level 15 password cipher 123456
[R2-aaa]local-user ABC service-type telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 tcp行为中的 源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为
[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0
规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为
一个接口的入或者出方向上 只能调用一张acl表格
NAT:网络地址转换
公有IP和私有IP的区别
公有IP----全球唯一 可以你在互联网中通信 付费使用
私有IP----本地唯一 不能在互联网中通信 免费试用
A类:10.0.0.0---10.255.255.255
B类:172.16.0.0------172.31.255.255
C类:192.168.0.0-----192.168.255.255
NAT-----网络地址转换,在边界路由器上,进行公有地址和私有地址间的转化
NAT的分类: 静态NAT 动态NAT NAPT 端口映射
在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。
静态NAT:
我们在私网的边界路由器上建立并维护一张静态地址表,静态地址表映射了公有地址和私有地址间 一一对应的关系
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2
[R2]display nat static 查询nat映射关系
动态NAT
静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。
使用端口进行分辨 转化的形式----NAPT(端口地址转化)也叫PAT
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。 当上网需求非常大时,一个公网IP可能不够用,我们也可以同时使用多个公网IP,这样就能形成65535的倍数增长,形成多对多的NAPT。
一对多
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-GigabitEthernet0/0/1]nat outbound 2000
多对多
创建公网地址池
[R2]nat address-group 1 12.1.1.2 12.1.1.10
其中包含 12.1.1.12------12.1.1.10
注意:1.必须是公网 2.必须是连续的IP
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
在该接口上 将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化
No-pat 添加则代表为静态多对多 不添加则是动态多对多
静态多对多:多个一对一
动态多对多:多个一对多
端口映射
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80