ACL访问控制列表
作用
- 控制数据流量
- 抓取感兴趣流量
分类
-
标准ACL:检查数据源IP地址
-
扩展ACL:检查数据协议、源目IP地址
匹配规则
- 从上向下依次匹配,一旦匹配不再向下查询,且每张ACL末尾存在隐藏拒绝所有
使用位置
- 标准ACL使用位置:在最靠近目标的接口上调用,影响源跟其他人通信
- 扩展ACL使用位置:在最靠近源的接口上调用,防止占用中间的带宽资源
编号写法
标准ACL配置
两边都ping不通,拒绝源,在靠近目标的路由器拒绝,如果在源进行的话也就把中间的网段也干掉了,影响源与其他通信
R2(config)#access-list 1 deny 1.1.1.1 0.0.0.0拒绝源,一个具体的,后面的为通配符
或者
干掉一个确定的主机
R2(config)#access-list 1 deny host 1.1.1.1
或者干掉一个网段
R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255
然后让其他通过:
R2(config)#access-list 1 permit any
然后在靠近目标的位置调用:
R2(config)#int f0/1
Ip access-group 1 out 源访问目标,该接口为出接口
删除:no access-list 1
查看:show access-lists
扩展ACL配置
需加协议,源和目标都固定了,靠近源的位置干掉网段,防止其占用更多带宽资源
R1(config)#access-list 100 deny ip host 192.168.1.2 host 172.16.1.2
或者:(左边可以ping 通右边,但右边ping不通左边)
R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1 echo
或者:
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
最后允许所有通过:
R1(config)# Access-list 100 permit ip any any (有两个any是因为源和目标都任意)
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
然后在靠近源的位置调用:
R2(config)#int f0/1
Ip access-group 100 in 源访问目标,该接口为进接口
命名写法
标准ACL配置
R1(config)#ip access-list standard ccna
R1(config-std-nacl)# Deny host 192.168.1.2 源主机
或者
Deny 192.168.1.0 0.0.0.255拒绝了一个网段,但要接收一个可以放小号
R1(config-std-nacl)#Permit any
////可以放小号(干掉某一个网段时,可使该网段中的某一个地址可以通过)
R1(config-std-nacl)#5 permit host 1.1.1.1
或者
R1(config-std-nacl)#5 permit 1.1.1.1 0.0.0.0
或者:
R1(config-std-nacl)#permit 1.0.0.0
然后在靠近目标的位置调用:
R2(config)#int f0/1
R2(config-if)# Ip access-group ccna out 源访问目标,该接口为出接口
扩展ACL配置
R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)# deny ip host 192.168.1.2 host 172.16.1.2
R1(config-ext-nacl)# Permit ip any any
增加条目
R1(config-ext-nacl)#10 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
可以ping 但拒绝远程登陆:
Deny tcp host 1.1.1.1 host 3.3.3.3 eq 23
Permit ip any any
干掉去的流量,但回来的还是可以ping 通:(左边ping不通右边,右边可以ping通左边)
router(config)# deny icmp host 1.1.1.1 host 2.2.2.2 echo
Permit ip any any
干掉回的流量:(左边ping通右边,右边ping不通左边)
router(config)#deny icmp host 1.1.1.1 host 2.2.2.2 echo-replay
Permit ip any any
最后调用:
R2(config)#interface f0/1
R2(config-if)# Ip access-group ccna in 命名写法的调用
telnet远程登录
先定义数据库
用户名登陆:
username ccna privilege 15 password 0 cisco
调用在VTY线路(虚拟链路)
line vty 0 4//可以允许5个人通过,最多允许16个
login local
只有密码登陆:line vty 0 4
Password xx
Login
远程登陆测试:telnet 23.1.1.2
NAT网络地址转换
作用
- 将私有地址转换成公有地址,解决IPV4地址不够用的问题,要上外网必须将私有改为公有
- 有效避免外部攻击
静态NAT1对1(服务器用的NAT)
应用环境:内网中有需要外网访问的某些服务
配置(在连接内外网的路由器上配置)
interface FastEthernet0/0
ip nat inside 定义内网区域
interface FastEthernet0/1
ip nat outside 定义外网区域
R1(config)#ip nat inside source static tcp 23.1.1.2 23 11.1.1.2 23远程登录边界路由器,登上的确是其他的某一路由器(前面为要登陆的地址,后面为公网地址)
ip nat inside source static 172.16.1.1 12.1.1.3将私有地址转换为公网端口地址
将内网源为172.16.1.1的IP转换为12.1.1.3(想让谁上网就转换谁)
动态NAT多对多
应用环境:公网地址数量略少于内网用户数量
配置
先定以内网外网区域 同上
access-list 1 permit 172.16.1.0 0.0.0.255抓取感兴趣流量
ip nat pool ccna 12.1.1.2 12.1.1.10 netmask 255.255.255.0 公网
ip nat inside source list 1 pool ccna
将内网源为ACL 1的地址转换为地址池ccna中的地址 (把抓取的网络段都转换成公网地址)私网转换为公网
PAT端口地址映射
多对一应用环境
配置
先定以内网外网区域 同上
ip nat inside source list 1 interface FastEthernet0/1 overload
将内网源为ACL 1的地址转换为f0/1口的IP地址 通过端口号区分不通内网设备
查看NAT地址映射表
R1#show ip nat translations
R0(config)#ip nat inside source static tcp 34.1.1.4 23 11.1.1.2 23
