一、ACL
1.概述
- 访问控制列表Access Control List
- 是由一系列permit或deny语句组成的、有序规则的列表
- 是一个匹配工具,对报文进行匹配和区分
2.ACL应用
- 匹配流量
- 在traffic-filter中被调用
- 在NAT(Natwork Address Translation)中被调用
- 在路由策略中被调用
- 在防火墙的策略部署中被调用
- 其他
3.ACL的种类
-
编号2000-2999---基本ACL----依据数据包当中的源IP地址匹配数据
-
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
-
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
4.ACL配置
4.1步骤
建立acl表格
acl 2000 //建立acl表格
书写规则
rule 编号 处理动作 source ip地址 通配符
编号:规则的序号(不写默认从5开始, 5 10 15 20等,方便修改)
处理动作:permit允许或者deny拒绝
通配符:表示了地址的范围
由上而下一次匹配,一旦匹配立即停止匹配应用规则
应用规则:进入端口应用规则
4.2通配符掩码
0表示不可变,1表示可变,0和1可以穿插。
- 单个地址
192.168.1.1 通配符掩码为0(32位都不可变)
- 网段
192.168.1.0/24 通配符掩码为0.0.0.255(前24位主机位不可变,后8位主机位可以随意变)
- 表示192.168.1.1/24-192.168.1.7/24
0000 0001
0000 0010
0000 0011
0000 0100
0000 0101
0000 0110
0000 0111
----------------------有0有1为1,全0全1为0
0000 0111
前24位不变,后8位为0000 0111,也就是通配符掩码为0.0.0.7
- 表示192.168.1.0/24 全部偶数
0000 0000,0000 0010,0000 0100,0000 0110。。。。。。
二进制最后一位一定为0,0.0.0.1111 1110
255-1=254
通配符掩码为0.0.0.254
练习
Client1只能和Server2通信
AR1配置如下:
u t m
sys
sys R1
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/2
ip add 192.168.3.254 24
q
acl 2000
rule deny source 192.168.1.1 0 //默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000 //数据流向在outbound方向接口下调用acl 2000
int g0/0/1
undo traffic-filter outbound
q
acl 3000
rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www
//拒绝来源于192.168.1.1 去访问192.168.2.1的tcp的80端口
int g0/0/0
traffic-filter inbound acl 3000
总结
基本ACL只可以控制源ip,所以影响范围大,那么最好放在离目的近的端口,减少影响;
高级ACL可以控制的选项较多,影响较小,建议放在离出发地近的端口,在数据处理前减少性能的占用。
二、NAT
1.概述
NAT(网络地址转换,Network Address Translation)是一种在计算机网络中使用的技术,它允许多个设备共享一个公共IP地址。NAT 的主要目的是解决 IPv4 地址短缺的问题,同时还可以提供一定程度的网络安全。
2.工作原理
出去的时候:将源ip地址 由私网变成公网
回来的时候:将目的ip地址 由私网变成公网
3.NAT的种类
-
静态NAT
每个内部 IP 地址都永久映射到一个特定的公共 IP 地址。
以工作原理图为例,对企业出口路由器做静态NAT,使PC1能够访问运营商设备
对企业出口路由器的配置如下:
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 200.1.1.1 24
nat static enable
nat static global 200.1.1.1 inside 192.168.1.1 //将内部网络中的私有IP地址192.168.1.1静态映射到外部网络上的公有IP地址200.1.1.1
-
动态NAT
使用一个私有IP地址池和一个公有IP地址池,每次内部设备访问互联网时,动态NAT会从公有IP地址池中选择一个未使用的公有IP地址进行映射。
以工作原理图为例,对企业出口路由器做动态NAT,使PC1和PC2能够访问运营商设备
int g0/0/1
undo nat static global 200.1.1.1 inside 192.168.1.1
nat address-group 1 200.1.1.10 200.1.1.50 //定义一个NAT地址组,编号为1,包含从200.1.1.10到200.1.1.50的公有IP地址
nat outbound 2000 address-group 1 //对于匹配ACL 2000的内部网络流量,将其源IP地址转换为NAT地址组1中的一个可用公有IP地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255 //允许源IP地址在192.168.1.0/24网段内的数据包通过
//如果不生效
<>save
reboot
display nat session all
-
easy-ip
它允许内部网络的多个设备共享一个公共 IP 地址访问外部网络。将ip地址和端口号一起转换。
工作过程:使用ACL列表匹配私网ip地址;将所有的私网地址映射成路由器当前接口的公网地址。
以工作原理图为例,对企业出口路由器做easy-ip,使PC1和PC2能够访问运营商设备
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat address-group 1 200.1.1.10 200.1.1.50
nat outbound 2000
-
nat-server
内网服务器的相应端口映射成路由器公网ip地址的相应端口
企业出口路由器到运营商设备做默认路由:ip route-static 0.0.0.0 0 200.1.1.2
对企业出口路由器的配置
int g0/0/0
ip add 192.168.1.254
int g0/0/1
ip address 200.1.1.1 255.255.255.0
nat server protocol tcp global current-interface www inside 192.168.1.100 www//当外部网络中的设备尝试通过当前接口的IP地址访问HTTP服务(端口80)时, 防火墙会将这些请求的源地址转换为内部网络中IP地址为192.168.1.100的设备, 并将请求的目标端口80映射到该内部设备的80端口。
nat static enable
把内网的192.168.1.100的80端口映射到外网的200.1.1.1的80端口上,访问200.1.1.1即访问的是192.168.1.100
