笔记基本ACL、高级ACL

 内容回顾:

       网络
  IP
规模越来越大
浪费越来越严重
IP地址空间有限
   -公有地址|私有地址  (NAT)
   -子网划分
   -IPv6

内网:私有地址
-通信
     私有地址没有资格在 Internet 流通;

     出去,但是回不来

     让企业的数据包在出去的时候,
     携带的并不是内部的私有地址,
     而是自己花钱买的公网IP地址;

     数据在传输过程中,IP地址是永远不会变化的(默认情况下)。

     数据在传输过程中,MAC地址是随时变化的,每经过一个网段,都会
         变化一次。

     NAT:
        将内网的数据包中的源IP地址,转换为购买的公网IP地址;

        NAT工作的时候,是依靠一个核心工作表:
                                             NAT转换表;
                    私有地址1   -----  公有地址1

--------
    NAT:network address translation 
 静态NAT:
   在边界设备上,手动的创建 NAT 转换条目;

   私有:公有 =====   1:1

  动态NAT:
   在边界设备上,设备基于数据包触发而形成的 NAT 转换条目,
   不需要人工干预。如果一个NAT转换条目在一段时间之内不使用,
   在会自动的在 NAT 转换表中自动删除;

   -基本动态NAT
            私有:公有  ===== 1:1

   -P-NAT(端口复用)
            私有:公有  ===== N:1

问题:
    内网主动ping外网,是可以通的;
    反之,则不通。

原因:

 in        路由表
           NAT表        out  

 NAT高级应用:
端口映射

ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011  

 ACL:access control list ,访问  控制  列表

  -作用:
   匹配感兴趣的流量。
 -实现:
   #规则
   #动作(允许/拒绝)
   #事件     
 -表示:
   # ID 
   # name 
 -类型:
   #标准ACL/基本ACL
          ID 
          name
   #扩展ACL/高级ACL
          ID 
          name

 ACL的配置思路:

0、确保原有数据的连通性(基于现网需要来确定);
      在没有实施ACL之前,PC-1 与 PC-2 之间是互通的;

1、查看设备上已经存在的ACL
      [R1] display acl [2000] | all 

2、创建ACL
      [R1] acl 2000 [match-order  {config} | {auto} ]
      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 

3、调用ACL
      [R1]interface gi0/0/0
      [R1-gi0/0/0]tranffic-filter inbound acl 2000
4、验证、测试、保存

      display acl 2000 //查看ACL的配置条目信息;
      display traffic-filter applied-record //查看ACL的调用信息;
      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
                       //查看特定端口上调用的ACL的使用信息;
      ping x.x.x.x
      save 

实验拓扑图:

站在用户的角度思考问题,与客户深入沟通,找到赛罕网站设计与赛罕网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都网站建设、成都做网站、企业官网、英文网站、手机端网站、网站推广、主机域名虚拟主机、企业邮箱。业务覆盖赛罕地区。

PC-1 ---> PC-2 
   #研究清楚流量的转发路径(来回路径)
        &干掉去的流量
        &干掉回的流量
   #研究流量本身(特点+结构)

          L2 +  L3 + ICMP + FCS 

              ip-acl 
                   L3 
                     source-ip  +  destination-ip 
                          基本ACL 
                               -仅仅关注IP头部中的 source-ip ; 
                          高级ACL 
                               -可以同时关注 source 和 destination ,
                                 并且,还可以关注 IP 头部后面的内容,
                                 比如 TCP/UDP             

====================================================================

 删除ACL:
1、正确的删除姿势
       #首先解除 ACL 调用关系
           Interface gi0/0/0 
               undo traffic-filter inbound

       #其次删除 ACL 条目本身
           undo acl 2000 

       #最后删除的最终结果

2、当调用一个不存在的 ACL 时,表示的是允许所有;

      注意:
1、同一个端口的,同一个方向,只能同时存在一个 ACL ;

2、如果想更改端口上调用的 ACL ,必须:
   首先,删除端口上的 ACL 调用命令;
   再次,重新调用一个新的 ACL ; 

3、端口上的 ACL ,不允许直接覆盖;

4、华为中的ACL,没有匹配住的流量,默认是允许的;

5、基本ACL/标准ACL,强烈建议调用在“距离目标设备”近的地方;

  3层ACL
 基本ACL 
       数字ACL
       命名ACL
 高级ACL 
       数字ACL 
       命名ACL 
2层ACL


     1、命名的ACL在创建的时候,需要指定类型;
     2、在ACL中,如果不写 source 或者不写 destination ,则表示所有源或目标
    3、在配置ACL的过程中,如果在输入 source 或 destination 的时候,直接回车
     则代表“所有”;

=================================================================

    R2:PC1-PC2不通,其他全部互通;
     1、创建ACL
       [R2]acl 3000
       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
                                           destination 192.168.10.1 0.0.0.0
     2、调用ACL
       [R2]interface gi0/0/0 
       [R2-gi0/0/0]traffic-filter inbound acl 3000
     3、验证、测试、保存
       display acl 3000
       display traffic-filter applied-record
       PC2:
          ping 192.168.10.1 ,no
          ping 192.168.10.3 ,yes
       PC4/5:
          ping x.x.x.x , yes 

       save

    R2:PC4/5与全网其他主机互通,其他流量全部不通;
     1、创建ACL 
          [R2]acl name Only-PC4-5 advance 
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule 100 deny ip         
     2、调用ACL 
         [R2]interface gi0/0/0
         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
     3、验证、测试、保存 

===============================================================

    小实验配置需求:
    1、PC-1与PC-2之间的任何类型的流量都无法互通;
    2、PC-3可以 ping 192.168.30.88(server-2),但是无法 ping www.ntd1711.com ; 
    3、PC-4与PC-3之间的任何类型的流量都无法互通;
    4、Client-1 可以 ping www.ntd1711.com,但是无法通过自带的浏览器打开
    Server-2中的 web 功能(即,www.ntd1711.com)

     秘诀:
       想要控制流量,必须先认识流量的封装方式、使用的协议;
       想要控制流量,必须先认识流量的转发路径和方向;

     acl access console list 访问控制列表
     基本acl   2000-2999
     高级acl   3000-3999
     acl 3000
    rule,从5开始,每一条隔5,从小往大执行
    in/out
    接口
    进入接口,traffic-filter in/out acl 3000

    创建acl
    acl number 3369  
     rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0
    interface GigabitEthernet0/0/0
    调用acl
    ip address 192.168.1.254 255.255.255.0 
    traffic-filter inbound acl 3369
    一堆查询
    [R1]display acl all   查询acl列表
    [R1]display traffic-filter applied-record    查询流量过滤应用记录
    [R1]display traffic-filter statistics interface G0/0/0 inbound
     查询接口上in方向流量信息
===========================================
       Telnet管理
        aaa认证:
AAA-----身份验证(Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。

    R3
    G0/0/1 192.168.20.2
    不允许1.1 ping

    基本ACL:匹配感兴趣的流量,在匹配流量时,只能匹配源IP地址
                  配置在:建议在距离目标地址最近的地方
    高级ACL:在匹配流量时,可以匹配源地址,目标地址,传输层协议和端口号
                  配置在:建议在距离目标地址最近的地方(流量转发路径上的设备上的端口上in/out)

分享文章:笔记基本ACL、高级ACL
浏览路径:http://scyanting.com/article/pgisgp.html