ACL 访问控制列表
- ACL是由一系列permit或deny语句组成的、有序规则的列表
- ACL是一个匹配工具,能够对报文进行匹配和区分
1.匹配ip流量
2.在Traffic-filter中备调用
3.在NAT中被调用
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作
ACL 工作原理:
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理
ACL种类:
- 编号2000-2999—基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999—高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
acl 2000 建立acl表格2000
书写规则
rule 编号 处理动作 source 通配符
编号:规则的序号
处理动作:permit允许或者deny拒绝
source ip:源ip地址
通配符: 表示了地址的范围
示例:
rule 5 permit source 192.168.1.0 0.0.0.255
应用规则:
进入端口应用规则
基本ACL可以基于哪些条件来定义规程:
1.源IP地址:允许或拒绝特定来源的流量。
2。分片标记:用于识别分片的数据包。
3.时间段信息:定义规则生效的时间段。
高级ACL可以基于哪些条件来定义规程:
1.源IP地址和目的IP地址:允许或拒绝特定来源或目的地的流量。
2.IP协议类型:如TCP、UDP等,用于区分不同类型的流量。
3.端口号:如TCP或UDP的源端口和目的端口,用于识别特定的应用程序流量。
ACL(访问控制列表)的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
NAT协议
网络地址转换技术
-
私网ip地址
-
NAT技术原理
1.出去的时候:★★★★★
将源ip地址 由私网改成了公网
2.回来的时候:★★★★★
将目的ip地址 由公网改回私网
-
子网掩码的作用: 连续的1 代表网络位
-
通配符掩码:
可以0 1穿插 -
静态NAT
工程师手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
配置好地址:在企业出口路由器上的 g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1
#注意不能直接使用 接口地址200.1.1.1dis nat static
<Huawei>dis nat static Static Nat Information:Interface : GigabitEthernet0/0/1Global IP/Port : 200.1.1.100/---- Inside IP/Port : 192.168.1.1/----Protocol : ---- VPN instance-name : ---- Acl number : ----Netmask : 255.255.255.255 Description : ----
- 动态NAT
nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
#给需要地址转换的 网段添加规则int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
- NAPT
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
配置好ip地址企业出口路由器需要配置默认路由在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
- Easy-IP
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000display nat session all
ACL(访问控制列表)的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
最小花费爬楼梯(动态规划-线性dp))
)
