目录
一、ACL概况
二、ACL工作过程
三、ACL实验
四、ANT概况
五、ANT工作过程
六、ANT实验
一、ACL概况
概念:主要是对报文进行区分,路由器会对报文进行检查,查看是否符合通过标准或者不通过标准,才判断允许通过和不允许通过
原理:当数据包经过接口时,路由器检查报文,做出相应的处理
应用:1.教育网,设置禁止访问指定网页
2.防火墙,监护数据安全
3.匹配ip,进行流量监控
acl配置格式例子:rule 5(默认5,留有空间可以再添加其他) deny source 10.0.1.1 0
默认5:因为一个接口一个方向只能有一个acl,acl可以有多个rule,而且acl根据id从小到大,从上到下,所以
一旦设置过就不可以改变,要删除重新配置,比如设置成rule 1 deny source 10.0.0.1 0 ,如果要设置其他的,id已经为1不可以在添加
所以默认一般为5.
分类:1.基本acl:编号范围(2000-2999),比较粗糙,设在outbound地方(出口)尽量靠近目的地,可以避免影响其他接口正常使用
2.高级acl:编号范围(3000-3999),比较精细,可以设置再inbound,也可以设再outbound,尽量设置在inbound,尽量靠近源地方,可以减少资源浪费
二、ACL工作过程
原则:一旦命中停止匹配
1.数据包发送
2.查看是否有acl
3.有acl在看有没有rule,如果没有直接放行
4.有rule,查看是否符合rule,根据rule来执行,permit允许,deny拒绝
5.执行完,再查看有没有其他rule,如果有继续分析,没有直接放行
三、通配符掩码
掩码总结:1.子网掩码:主要用来判断ip地址是否再同一网段,是否可以通信,
例如192.168.1.1和192.168.1.2,两个地址都是255.255.255.0,所以在同一网段
必须是连续的1
2.反掩码:和子网掩码反过来,必须是连续的0
3.通配符掩码:0和1可以不连续,对应ip地址1表示可变,0表示不可变
例子:rule 5 premit source 192.168.1.1 通配符 0 表示只能匹配一个IP
192.168.1.0 如果要匹配1.0网段
0.0 .0 .1111 1111(后八位都可以变因为一个网段都可以匹配)
所以通配符是0.0.0.255
四、ACL实验
实验1(基本acl):
实验目的:pc1无法访问server1,pc2正常访问
先给R1配置基本网关ip,因为是直连路由,所以可以通信
接下来添加基本acl
R1配置如下:
#
acl 2000//启用基本acl
rule 5 deny source 192.168.1.1 0//配置rule规则,拒绝192.168.1.1的访问
int g0/0/1//进入接口g1
traffic-filter outbound acl 2000 //调用acl
用c3pingsever3IP地址:192.168.2.1:
无法ping通,说明acl成功,在pingserver4192.168.3.1
可以ping通,说明不影响和服务器4的通信
实验二(高级acl):
实验目的:c3可以访问服务器3,但是无法访问网页
启用serverhttp服务
R2配置如下:
#
acl 3000//高级cal
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www
//规则5 拒绝 tcp 访问 源 192.168.1.1 一个地址 目的地 192.168.2.1 一个地址 目的接口 80端口 等于(网页http)
就是不让192.168.1.1访问192.168.2.1网页服务
用c3获取服务器3的网页服务,无法获取
但是用同样方法获取服务器4的网页服务
发现是可以获取的,因为并没有会192.168.1.1访问192.168.3.1进行acl高级限制,所以可以获取
五、ANT概况
概念:因为私网地址无法转发,所以私网地址和公网地址无法互相访问,为解决这一问题,可以使用ant来解决
原理:当私网地址去访问公网地址,nat可以将私网地址转换为公网地址
分类:1.静态ant,手动将一个IP地址对应一个公网地址,缺点很大
2.动态ant,私网地址转换公网地址随机转换
3.easy-ip,将一批公网地址设置成一起,一个IP地址进行转换就占用其中一个公网地址,直到占完为止,不够的话需要等待
4.natpt端口映射,将端口和端口直接映射,进行私网和公网的转换,和静态nat差不多
六、ANT工作过程
1.当pc1想访问200.0.1.1,经过R1,将其转换为公网地址,访问200.0.1.1
2.当200.0.1.1收到访问时,回复时,公网地址到R1,R1将其转换为私有地址,返回pc1
(为什么知道是pc1,因为pc1发送报文时里面有序列号,可以找到)
七、ANT实验
实验1.静态ant
实验目的:pc1可以访问200.0.1.1
R1配置基本网关ip,用pc1ping200.0.1.1,
无法通信,因为私网无法访问公网
R1配置:
#
interesting g0/0/1 //进入g0接口
nat static enable //打开nat静态接口
nat static global 200.1.1.100 inside 192.168.1.1 //配置静态nat 200.1.1.100(内网192.168.1.1可以转换为200.1.1.100)
dis nat static //查看nat static
用pc1ping200.1.1.2,可以访问,说明已经可以访问
实验2:端口映射nat
实验目的:让pc3可以访问服务器器
R1配置如下
#
基本网关ip地址配置(略)
int g0/0/0//进入g0接口
nat server protocol tcp global current-interface www inside 192.168.1.100 www //配置nat服务tcp协议 全局当前的接口 80 端口(http)内部网络192.168.1.100 访问80端口
nat static enable //打开nat静态
pc3ping192.168.1.100,可以访问,用tracert 192.168.1.100查看具体路径,可以看到公网转换成私网
实验3:eas-ipfNAT
实验目的,pc3访问服务器
R1配置如下:
#
acl 2000//配置acl
rule permit source 192.168.1.0 0.0.0.255//定义规则一个网段1.0
interesting g0/0/1 //进入接口g1
nat outbound 2000 //使用nat2000
display nat session all//查看所有会话
pc3ping服务器ip:
可以ping通
标签:计算机网络,1.1,192.168,acl,ANT,地址,rule,nat,ACL From: https://www.cnblogs.com/zhende/p/17342523.html