目录
一:ACL(访问控制列表)
1.什么是ACL(访问控制列表)
ACL 是访问控制列表(Access Control List)的英文缩写,它是一种基于包过滤的访问控制技术,被广泛应用于路由器和三层交换机等网络设中。
2.ACL概述和应用
ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL应用:
-
应用在接口的ACL-----过滤数据包(原目ip地址)|在Traffic-filter中被调用
-
应用在路由协议-------匹配相应的路由条目|在NAT(Network Address Translation)中被调用
3.ACL工作原理:
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理(拒绝、接收)。
4.ACL种类
-
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据是从 哪个IP地址 过来的)
-
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
-
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
5.ACL组成和规则
1.建立表格 如果已有不需要
acl number 2000 //表示创建一个编号为2000的acl表格
注意:基本acl 2000-2999 高级acl 3000-3999
2.添加相应的规则:rule 编号 处理动作 ip或网段 通配符掩码
rule 5 permit | deny //rule 5:第五条规则,Rule规则编号每一条规则都有一个相对应的编号 默认步长为5,方便后续在旧规则之前插入新的规则。
处理动作permit | deny:接收,拒绝
ACL的匹配机制:从上而下一次匹配,优先选择第一次遇到的规则:列如第一条是允许通过192.168.1.0段的ip地址,第二条是不允许通过源ip192.168.1.1的地址,结果是1.1这个地址还是通过了,因为1.0段包含了1.1,且1.0段的规则是在1.1的前面的。
source 192.168.1.1 //匹配项(ip地址(源IP、目的IP),mac地址:源ip 注意没有目的MAC地址,因为如果不是目标MAC根本就不需要做判断是通过还是拒绝)
rule 5 permit source 192.168.1.1 通配符掩码(用来控制匹配的范围) //
通配符掩码: 192.168.1.0/24 通配符掩码为:0.0.0.255
解释:ip地址可变的位为1,不可变的位为0,就是如果变了是否影响这个原本的ip地址,不影响便是可变的,影响便是不可以改变的。
3 进入接口 调用规则 inboud outboud
192.168.2.2 表示单个地址的话:0.0.0.0
通配符掩码:0.0.0.255 c类地址
0.0.255.255 B类地址
0.255.255.225 A类地址
192.168.1.0/24 只允许192.168.1.1----192.168.1.7之间的ip地址通过
0.0.0.0000 0111-----7-----192.168.1.7
因为有0有1就写1 0.0.0.7就是表示1-7之间的通配符掩码
192.168.1.0/24 所有的偶数地址
0.0.0.1111 1110 通配符 0.0.0.254 只要保证最后一位为0不可变就可以了
192.168.1.0/24 所有的奇数地址
0.0.0.1111 1110 通配符 0.0.0.254 只要保证最后一位为1不可变就可以了
BUG:
表示 1-63 的192.168.1.0/24网段 的通配符掩码 :0.0.0.63
在63的基础上加一位表示64的话,因为前面有数字有1有0就表示1,结果为0.0.0.0111 1111
通配符掩码即为:0.0.0.127
所以如果相要表示0-64的通配符掩码写0.0.0.127会比在63的基础上多出64个地址, 解决办法是写一段0-63的通配符掩码,单独写一段64的通配符掩码。
练习
10.1.11.0 0.0.254.255
以下哪些地址符合上面的条件
10.1.1.4
10.1.2.4
10.1.5.4
10.1.9.4
答案:除了第三位是偶数的其他都是,由题可得表示所有奇数。
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 0和1可以不连续
高级ACL
acl number 3000 建立编号为3000的acl表格
rule 10 deny tcp source 192.168.1.1 0 destination 192.168.1.0 0.0.0.255 destination-port eq www
解释:第10条规则拒绝192.168.1.1的ip访问192.168.1.0网段的所有设备的tcp:80端口6.ACL的匹配位置。
7.acl实例模拟
1.设置C1和server1的IP地址、掩码和网关 
2.基本ACL:尽量用在靠近目的ip的端口
#
acl number 2000 //建立编号为2000的基本acl
rule 5 deny source 192.168.1.1 0 //设置初始步长为5 拒绝源通过 ip192.168.1.1这个地址
#
interface GigabitEthernet0/0/1 //进入到g0/0/1接口
ip address 192.168.2.254 255.255.255.0 //设置ip地址 和掩码
traffic-filter outbound acl 2000 //将acl 2000应用于出口位置
#3.结果使用C1去ping发现被拒绝了 
结论:拒绝192.168.1.1访问server1
(2)1.配置C2的ip和掩码
2. 配置AR1建立高级ACL表格
#
sysname AR1 //重命名
#
acl number 3000 //建立高级编号为3000的acl表
rule 5 deny tcp source 192.168.1.2 0 destination 192.168.2.1 0 destination-port eq www //第五条规则的作用是阻断从源 IP 地址 192.168.1.2 发往目标 IP 地址 192.168.2.1 的、目标端口为 HTTP 服务相关端口( 80 端口)的 TCP 流量。
#
interface GigabitEthernet0/0/0 //进入g0/0/0接口
ip address 192.168.1.254 255.255.255.0 //配置ip地址和掩码
traffic-filter inbound acl 3000 //应用于进口端口中
#3.获取失败
结论:结果看到Client2获取失败,表示被拒绝访问成功了。基本acl需要调用在离目的设备最进的接口上。高级acl用于在靠近源ip设备的接口上(可以保护带宽和其他资源)
二.NAT(网络地址转换)
1.NAT技术主要用于实习内部网络的主机访问外部网络。一方面NAT缓解了IPV4地址短缺的问题,
2.一方面nat技术让外网无法直接与使用私有地址的内网进行通信,提升内网的安全性
公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址
私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的ip地址
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
1.NAT工作原理如下:
2.NAT技术转换流程如下:
3.静态NAT案例分析
3.1 配置企业出口路由器:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys qyck
[qyck]interface GigabitEthernet0/0/1 //进入g0/0/1端口
[qyck-GigabitEthernet0/0/1] ip address 200.1.1.1 255.255.255.0 //设置ip地址和掩码
[qyck-GigabitEthernet0/0/1]nat static enable //开启静态nat
nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
//表示静态NAT配置将私网地址192.168.1.1转为公网地址200.1.1.100
#
return
[qyck-GigabitEthernet0/0/1]nat static enable //开启静态nat
[qyck-GigabitEthernet0/0/1]nat static global 200.1.1.101 inside 192.168.1.2
//表示静态NAT配置将私网地址192.168.1.2转为公网地址200.1.1.101
[qyck-GigabitEthernet0/0/1]dis th //显示配置信息
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 200.1.1.1 255.255.255.0
nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat static global 200.1.1.101 inside 192.168.1.2 netmask 255.255.255.255
nat static enable
#
return3.2 pc1结果: 
3.3利用pc1端:ping200.1.1.2产生流量,使用抓包可以清晰的看出数据包ip变化
(1)抓包:g0/0/1接口
(2)抓包:g0/0/0接口
结论:静态NAT是和公网地址 一 一 对应关系(dis nat static ),注意不能使用出口的接口地址作为公网地址。
1.动态NAT:
nat address-group 1 200.1.1.10 200.1.1.20 //建立地址池
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
#第五条规则允许通过源ip为192.168.1.0网段的所有ip地址
int g0/0/1 //进入接口
nat outbound 2000 address-group 1 no-pat
#运用在网络地址出站的接口上 运用编号为2000acl,使用地址池编号为1的地址池,不使用端口地址转换1.1从图可以看出:每次从地址池拿出使用的公网ip是不一样的。
4.Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000 //建立编号2000的acl表
rule permit source 192.168.1.0 0.0.0.255 //允许通过源ip 192.168.1.0网段的所有地址通过
int g0/0/1 //进入g0/0/1接口
nat outbound 2000 //应用在出站接口使用编号为2000acl 3.使用pc2 
4.结果如下
结论:建立一个acl规则,应用于在出站的接口就可以实现私网地址映射成公网地址。
5.NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
5.1实例图
配置内网服务器: 
配置企业出口路由器:
[qyck]int g0/0/1 //进入g0/0/1接口
#
[qyck-GigabitEthernet0/0/1] ip address 200.1.1.1 24
//配置接口ip地址和掩码
[qyck-GigabitEthernet0/0/1] nat server protocol tcp global current-interface www inside 192.168.1.100 www
//启用natserver 将当前端口的公网地址的80端口和内网 192.168.1.100的80 端口做上关联
访问200.1.1.1的80 端口等于 访问 192.168.1.100的80端口
current-interface:当前端口的ip地址
www:80
inside:内网
global:公网
#
[qyck]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
为企业出口路由器做默认路由:所有网段指向运营商配置运营商:
interface GigabitEthernet0/0/0 //进入g0端口
ip address 200.1.1.2 255.255.255.0 //设置ip 和掩码
interface GigabitEthernet0/0/1 //进入g1端口
ip address 202.1.1.254 255.255.255.0 //设置ip和掩码配置客户端:
启动内网服务器server1: 
使用客户端Client1获取数据 
