ACL----访问控制列表
是一种策略
1. ACL原理: 配置了 ACL 的网络设备,会根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然 后对流量进行预定义的动作处理。
2.ACL功能:
- 访问控制:在设备上的流入或流出方向上,匹配流量,然后执行动作。(允许/拒绝)
- 抓取流量:ACL经常会跟其他协议共同使用,当与其他协议共同使用时,ACL一般仅作流量匹配,对应动作又其他协议完成。(防火墙、路由策略、QoS )
3.ACL的匹配规则:
- 自上而下,逐一匹配;匹配成功,则直接按该条目执行,不继续向下匹配.
-
若都没有匹配上,则执行默认规则:
(思科设备ACL访问控制列表末尾隐含条件:拒绝所有流量
华为设备 ACL 访问控制列表末尾隐含条件:允许所有流量)
4. ACL 分类:
- 基本ACL:只能基于IP报文的源IP地址、报文分片和时间段来定义规则
编号:2000-2999(规则编号:用于区分不同的规则列表)
-
高级 ACL: 基于 IP 报文的源 IP 、目的 IP 、协议字段、 IP 报文的优先级、报文长度、传输层的源目端口 号等信息来规定。
编号: 3000-3999
- 二层ACL:使用报文的以太网帧信息来定义规则
编号: 4000-4999
-
用户自定义ACL: IP 报文、 TCP 报文、 ICMP 、端口号、 MAC需求三:要求PC1可以ping通R2,但是不能telnet R2编号: 5000-5999
示例
需求一 :PC1可以访问192.168.2.0/24网段,PC2不行
- 分析:仅对源有要求,配置基本ACL即可
- 配置原则 :由于基本ACL仅关注源IP地址,故配置时尽量靠近目标,避免对其他地址访问误伤。
-
配置:
一、创建 ACL 列表[R2]acl 2000 // 创建编号为 2000 的 ACL 列表二、设定规则[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 // 设定规则,拒绝源 IP 为 192.168.1.2 的地址通过三、允许所有[R2-acl-basic-2000]rule 10 permit source any // 在最后允许所有规则号:华为默认规定步长为 5 ,方便后期维护时增加或删除规则。四、在接口调用 ACL 列表[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 // 在该接口出方向调用每个接口仅能调用一张 ACL 列表。但一张表可以在多个接口被调用方向:出方向、入方向;根据流量流动方向来判断,一个接口即可以是出接口也可以是入接口。[R2]display acl all[R2]display acl 2000上述命令中0.0.0.0该字符串,是通配符。 0 代表不可变, 1 代表可变位。例 1 :rule deny source 192.168.1.2 0.0.0.0 拒绝 192.168.1.2 通过192.168.1.2-----11000000.10100100.00000001.000000100.0.0.0---------00000000.00000000.00000000.00000000例 2 :拒绝 192.168.1.2 和 192.168.1.3 通过rule deny source 192.168.1.2 0.0.0.1192.168.1.2-----11000000.10100100.00000001.000000100.0.0.1---------00000000.00000000.00000000.00000001例 3 :拒绝 192.168.1.0/24 网段中的所有单数 IP 通过rule deny source 192.168.1.1 0.0.0.254192.168.1.1-----11000000.10100100.00000001.000000010.0.0.254-------00000000.00000000.00000000.11111110需求二 :PC1可以访问PC3,但是不能访问PC4- 分析 :对目标有要求,需要使用高级ACL
- 配置原则:因为高级ACL对流量进行的是精确匹配,为避免对链路资源的占用,故在最接近源的位置配置。
- 配置:
[R2]acl 3000[R2-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination192.168.2.2 0.0.0.0[R2-acl-adv-3000]rule permit ip source any -
分析:本需求涉及到端口,所以需要使用高级ACL
-
配置:
[R1]acl 3100[R1-acl-adv-3100]rule deny tcp source 192.168.1.1 0.0.0.0 destination12.1.1.2 0.0.0.0 destination-port eq 23
NAT----网络地址转换
NAT分类:
- 静态NAT:一对一、在私网边界路由器上建立并维护一张表(静态地址映射表)。记录了私有地址与公有地址的转换关系
工作过程配置:
[Huawei]interface GigabitEthernet 0/0/0 // 进入边界设备的对外接口[Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside192.168.2.1 // 配置静态地址转换。此公有 IP 地址不能是本路由器上正在使用的公有IP 地址。漂浮 IP :这个 IP 必须是从运营商合法买到的公网 IP 地址,并且要与出接口地址处于同一网段。[Huawei]display nat static // 查询静态 NAT 转换表
- 动态NAT:一对多、多对多、同一时间内,仅允许一个私网IP进行转换。只能等上一个流量回来后,下一个流量才能转换发出。(排队上网)
配置:
一、创建公有地址池塘[Huawei]nat address-group 1 10.1.1.10 10.1.1.11 // 创建一个公有地址组,组号为 1 ,包括了 2 个 IP 地址,分别是 10.1.1.10 和 10.1.1.11 ;必须是合法购买的公网 IP ;公网 IP 必须连续二、抓取流量 ---> 匹配[Huawei]acl 2000[Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255三、将 ACL 与公有地址组绑定并调用[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat[Huawei]display nat address-group
NAPT
-
网络地址端口转换技术
-
目前互联网上使用最广泛的技术
-
解决了动态 NAT 需要排队的问题
-
维护了一张源端口号与私网地址的映射关系表
-
1-65535(EASY IP)
-
配置:
一、抓流量[Huawei]acl 2100[Huawei-acl-basic-2100]rule permit source 192.168.2.0 0.0.0.255二、接口调用[Huawei-GigabitEthernet0/0/0]nat outbound 2100 //easy ip 规定,默认使用该接口 IP 作为公有 IP 通讯[Huawei]display nat outbound // 查看 NAT 配置信息
多对多NAPT
一、创建公有 IP 组[Huawei]nat address-group 2 10.1.1.10 10.1.1.20二、抓取流量[Huawei-acl-basic-2200]rule permit source 192.168.2.0 0.0.0.255三、调用[Huawei-GigabitEthernet0/0/0]nat outbound 2200 address-group 2
端口映射
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global current-interface telnet inside 192.168.2.1 telnet