ACL:訪問控制列表
ACL工作原理:
1 當ACL中有多個條目的時候。
匹配順序按照目前的編碼進行從小到大比較
如果無法匹配則進行下一個編碼表示的進行匹配
如果有一個條目匹配住,就不會繼續查看下面的條目了
2 在匹配任何一個條目的過程:
1 首先觀察的是該條目關心的是數據中的
soutce或者 destination【源IP和目標IP】
2 其次在來關心條目中的 -通配符-
0 所對應 數據包中的 bit
<R1>dis traffic-filter applied-record
【查看本地ACL的調用情況 如:在端口,方向,】
<R1>dis traffic-filter statistics interface g 0/0/1 outbound
【查看特定端口的特定方向ACL流量的統計端口進入/出口狀態】
<R1>display acl all
【查看所有的ACL】
<R1>display acl 3333
【查看特定的ACL 3333】
[R2-acl-adv-3333]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-【在ACL中設置拒絕R1遠程R2】
[R1-gi0/0/2] traffic-filter inbound acl 2000
【在進入接口設置調用acl】
port eq 23
eq:等於
gt: 大於
it:小於
range:比如:1到10之間
ACL。表示所有:
[R2-acl-adv-3333]rule 10 permit ip
【允許所有】
[R2-acl-adv-3333]rule 10 deny ip
【拒接所有】
只要不寫source 和destination 關鍵字就可以
注意:
基本的ACL,建議調用在距離目標IP地址 近的地方
【爲了不影響路過目標IP地址的網段】
高級的ACL,建議條用在源IP地址 近 的地方
【提前攔截去往目標地址的數據,避免數據的浪費】
命名的ACL
[R2]acl name zhangsan {basic | advance }
【創建命名ACL 基本/高級選項】
[R2-acl-basic-zhangsan] rule 10 permit
【允許zhangsan所有】
命名ACL的好處:
通過配置命名的ACL,可以讓我們更加容易區分和管理 ACL
但是爲了便於 ACL 的配置與修改,
系統會給命名的ACL分配一個 id ;
以後在配置、修改、調用 ACL 的過程中,
通過該 id 和 通過名字,都是相同的。
常用的應用以及其端口號:
FTP: tcp 21
FTP-Data : tcp 20
telnet : tcp 23
web : tcp 80
smtp : tcp 25
pop3 : 110
dns : tcp 53
dhcp : udp 67/68
rip : udp 520
bgp : tcp 179
mstsc : tcp 3389
NAT-network address translation【網絡地址轉換】
------由私有地址轉換成共有地址-
內網訪問外網:
1 靜態NAT:
私有--訪問共有 1:1
不節省IP地址
[R1] nat static global 100.1.12.3 inside 192.168.1.1
【將外網映射成內網】
[R1-gi0/0/1] nat static enable
【在出端口開啓靜態NAT】
2 動態NAT
私有--訪問共有 1:1
不節省IP地址
(創建組,組中是外網地址)
《內網訪問組時,就會對應組中的外網地址》
【將出口的接口配置成訪問外網的地址】
3 PAT/PNAT/NAT-Port/端口複用/端口NAT/port NAT
【這些都一個意思】
[R!!-GigabitEthernet0/0/1]nat outbound 2222
【將內網轉換外網,運用ACL規則進行設置】
注意:
在NAT中調用的ACL與在接口調用的ACL,稍有不同
1 NAT中調用的最後一個隱含的默認動作是--拒絕所有
2 接口上調用的ACL最後一個隱含的默認動作是--允許所有
外網訪問內網:
[R!!-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 (外網)8080 inside 192.168.1.10(內網) 80
【將外網映射成內網(加端口號安全性高點)】