ACL:access control list---访问控制列表
作用:控制数据的访问,互通;
实现:
1.定义规则
2.定义动作:permit 允许 ; deny 拒绝
分类:
1.标准ACL:仅关注的源IP地址;
2.扩展ACL:关注源IP地址和目标IP地址,还可以关注IP头部后面的内容;
表示:
1.id 通过不同的数字,表示不同的ACL;
2.名字--便于人们对ACL的配置与管理;
配置:
1.创建ACL;
access-list {ID} permit/deny x.x.x.x wildcard-bits
ID范围:1-99,表示标准ACL
ID范围:100-199,表示扩展ACL
x.x.x.x : 表示的是一个IP网络范围或者一个IP地址
wildcard-bits:通配符#0和1是允许交叉出现的; #通配符中的0,表示的是匹配的位;#通配符中的1,表示的是不匹配的位;
例子:access-list 1 permit 192.168.1.0 0.0.0.255
1、首先分析ACL的类型;
2、其次分析ACL的匹配条件 -首先分析“通配符”,关注通配符中0所对应的IP地址中的位-提取源IP地址中,与通配符0所对应的位,-将提取出的 位,与ACL中的条件进行比对;如果相同,则表示匹配成功,执行“动作”如果不同,则表示匹配失败,继续查找下一条目/匹配条件
3、最后确认“处理动作”-permit , 允许-deny , 拒绝
2.调用ACL:
#确定在正确的设备上、
#在正确的端口上、
#在正确的方向上
interface fas0/0
ip access-group 1 in
3、验证与测试
PC-1
ping 192.168.1.254 --> not OK
注意:
任何一个ACL后面,都有一个隐含的 deny any ;
当 一个 ACL 中有多个条目时,对每个条件匹配时,是按照序列号从小到大依次进行检查、培训的;
标准ACL:应该调用在距离目标近的位置;
扩展ACL:应该调用在距离源近的位置;
工作中常用的ACL配置方式 - 命名的 ACL :
创建ACL-
GW(config)# ip access-list standard Deny-Ping
GW(config-std-nacl)# 10 deny 192.168.1.2 0.0.0.0
GW(config-std-nacl)# 20 permit any
GW(config-std-nacl)#exit
调用ACL-
GW(config)#interface fas0/0
GW(config-if)#ip access-group Deny-Ping in
为了匹配更加精确的流量,我们使用“扩展ACL”:
创建ACL-
ip access-list extended notPing
10 deny icmp host 192.168.1.2 host 192.168.1.254
20 permit ip any any
调用ACL-
interface fas0/0
ip access-group notPing in
验证——
ping
show ip access-list
show ip interface fas0/0
为了使灵魂宁静,一个人每天要做两件他不喜欢的事。
NAT - network address translation 网络 地址 转换
-作用:将私有地址,转换为公有地址,从而实现Internet访问;
-实施: 在网络的边界设备上,即网关设备/防护墙。
-类型:
1.静态NAT
-私有地址与公有地址的对应条目,是人工配置的;
-私有地址 : 公有地址 = 1:1
-不节省IP地址;
2.动态NAT
-私有地址与公有地址的对应条目,是数据流量触发的
@普通的动态NAT
-私有地址 : 公有地址 = 1:1
@PAT/PNAT/NPAT : port address translation
-PAT中的地址转换条目,是基于数据流自动形成的;
-私有地址 :公有地址 = N :1
192.168.1.1:port ---- 100.1.1.1:port1
192.168.1.2:port ---- 100.1.1.1:port2
-配置(静态NAT):
1、确定网络界限:内网和外网
interface gi0/0 //定义该端口为内网链路
ip nat inside
interface gi0/1 //定义该端口为外网链路
ip nat outside
2、配置 地址转换 条目
ip nat inside source static 192.168.1.1 100.1.1.1
3、验证与测试
show ip nat translation //查看NAT转换表
ping x.x.x.x
debug ip nat // 查看数据包的地址转换过程
-配置PAT:
1、确定网络界限:内网和外网
interface gi0/0
ip nat inside
interface gi0/1
ip nat outside
2、确定感兴趣流量
access-list 1 permit host 192.168.1.2
或者
access-list 1 permit 192.168.1.0 0.0.0.255
3、配置转换条目
ip nat inside source list 1 interface gi0/1
4、验证与测试
NAT 的 应用 : 端口映射
配置:
1、配置交换机的IP地址和默认网关
interface vlan 1
no shutdown
ip address 192.168.1.3 255.255.255.0
exit
ip default-gateway 192.168.1.254
2、配置边界设备上的“静态NAT”条目
ip nat inside source static tcp 192.168.1.3 23
100.1.1.1 2000
3、验证与测试
show ip nat translation
PC-3:
telnet 100.1.1.1 2000
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。