ACL原理配置
ACL访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
定义
- ACL是由一系列permit或denty语句组成,有序规则的列表
- ACL是一个匹配工具,能够对报文进行匹配和区分
ACL应用
- 匹配IP流量
- 在traffic-filter中被调用
- 在NAT中被调用
- 在路由策略中被调用
- 在防火墙的策略部署中被调用
- 在qos中被调用
ACL工作原理
某些设备配置了ACL,ACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。
ACL分类
- 编号2000~2999基本ACL依据数据包当中的IP地址匹配数据
- 编号3000~3999高级ACL依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000~4999二层ACL,mac,vlan-id,802.1q
ACL书写格式
acl 2000
新建表格,将你设置的过滤条件放入这个表格
rule 5 permit / deny source 192.168.1.0 0.0.0.255
添加条件:rule 编号 处理动作 source IP地址 通配符
子网掩码:必须是连续的1
反掩码:必须是连续的0
通配符掩码:0和1可以不连续,根据参考IP地址,通配符 1 对应可变,0 对应不可变,0和1可以穿插
traffic-filter
应用规则
进入端口应用规则
实际操作
AR1配置
acl 2000
rule deny source 192.168.1.1 0
int g0/0/0
ip add 192.168.1.254
int g0/0/1
ip add 192.168.2.254
traffic-filter outbound acl 2000
int g0/0/2
ip add 192.168.3.254
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
[R1]int g0/0/1
undo traffic-filter outbound[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
数据流向:在接口下调用acl分为两个方向
inbound-----------当接口收到数据包时执行acl
outbound---------当设备从特定接口向外发送数据时执行ACL
ACL的应用原则:
- 基本ACL:只控制源ip地址,所以影响范围大,尽量用在靠近目的点,
- 高级ACL:可以控制较多,影响较小,尽量用在靠近源的地方
匹配规则
- 一个接口的同一个方向,只能调用一个acl
- 一个acl里面可以有多个rule规则,按照规则id从小到大排序,从上往下依次执行
- 数据包一旦被某rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有
NAT
NAT(网络地址转换,Network Address Translation)是一种在计算机网络中使用的技术,它允许多个设备共享一个公共IP地址。NAT的主要目的是解决IPv4地址短缺的问题,同时还可以提供一定程度的网络安全。
工作原理
当内部网络的主机发送数据包到外部网络时,NAT设备会检查数据包中的源IP地址,并在NAT转换表中查找匹配的映射规则。如果找到匹配的映射规则,NAT设备将源IP地址替换为映射后的外部IP地址。当外部网络的响应数据包返回时,NAT设备会将目的IP地址还原为内部主机的私有IP地址
静态NAT
NAT表条目是通过手动配置的方式添加进去的
私有IP地址和公有IP地址是 1对1 的关系,不节省公网IP地址
AR3配置
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 200.1.1.1 24
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1AR4配置
int g0/0/0
ip add 200.1.1.2 24
动态NAT
动态NAT是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,是随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
nat address-group 1 200.1.10 200.1.1.50
建立地址池
acl 2000
建立表格
rule permit source 192.168.0.0 0.0.0.255
给需要地址转换的网段建立规则
int g0/0/1
nat static enable
开启nat
nat outbound 2000 address-group 1
建立规则
dis nat session all
查看流量
easy-ip
- 使用列表匹配私网的IP地址
- 将所有的私网地址映射成路由器当接口的公网地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
ip add 200.1.1.1 24
nat outbound 2000
NATPT(端口映射)
NAT Server:内网服务器对外提供服务,针对目的IP和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口