南山商城网站建设哪家便宜,太原最新新闻消息,网站手机网站怎么建立,安全狗网站白名单指什么第七节
ACL#xff1a;访问控制列表
访问控制----在路由器的入或者出的接口上#xff0c;匹配流量#xff0c;之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则#xff1a; 至上而下#xff0c;逐一匹配#xff0c;上调匹配按照上条执行…第七节
ACL访问控制列表
访问控制----在路由器的入或者出的接口上匹配流量之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则 至上而下逐一匹配上调匹配按照上条执行不在查看下条。在华为体系中末尾隐含允许所有在思科体系中末尾隐含拒绝所有。
分类
标准---仅关注数据包中的源IP地址
扩展---关注数据包中的源 目标IP地址 协议号 端口号
标准ACL中由于标准ACL仅关注数据包中的源IP地址故越靠近目标越好可以尽可能的避免误杀。 2000-2999 标准 3000-3999 扩展
注意一个编码是一张规则一张规则可以容纳大量具体的规则
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
ACL在地址匹配时会使用通配符
255.255.255.0 0.0.0.255 他可以进行0 1 的穿插 [R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000
[R2-acl-basic-2000]rule permit source any 规定 允许 所有IP通过
[R2]ACL name classroomA
扩展ACL 关注数据包中的源IP以及目标IP
由于扩展ACL可以对数据流量进行精确分析故越靠近源越好。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
在关注源/目标IP地址的同时再关注目标端口号
Telnet---远程登录 基于TCP23号端口工作
条件1.登录设备与被登陆设备之间必须可达
2.被登陆设备必须开启telnet设定
[R2]aaa 进入aaa服务
[R2-aaa]local-user ABC privilege level 15 password cipher 123456
[R2-aaa]local-user ABC service-type telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 tcp行为中的 源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为
[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0
规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为
一个接口的入或者出方向上 只能调用一张acl表格
NAT网络地址转换
公有IP和私有IP的区别
公有IP----全球唯一 可以你在互联网中通信 付费使用
私有IP----本地唯一 不能在互联网中通信 免费试用 A类10.0.0.0---10.255.255.255
B类172.16.0.0------172.31.255.255
C类192.168.0.0-----192.168.255.255
NAT-----网络地址转换在边界路由器上进行公有地址和私有地址间的转化
NAT的分类 静态NAT 动态NAT NAPT 端口映射
在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。
静态NAT
我们在私网的边界路由器上建立并维护一张静态地址表静态地址表映射了公有地址和私有地址间 一一对应的关系
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2
[R2]display nat static 查询nat映射关系 动态NAT
静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的而不是写死的所以动态NAT不在意一对一的关系而是实现多对多的转化。
使用端口进行分辨 转化的形式----NAPT端口地址转化也叫PAT
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题在边界路由器上维护一张源端口号和私网IP地址的映射关系表因为端口号的取值范围是1-65535故有65535个所以NAPT同时支持通过的数据包的最大量即为65535个这就形成了一对多的动态NAT华为中称这种NAPT为EASY IP。 当上网需求非常大时一个公网IP可能不够用我们也可以同时使用多个公网IP这样就能形成65535的倍数增长形成多对多的NAPT。
一对多
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-GigabitEthernet0/0/1]nat outbound 2000
多对多
创建公网地址池
[R2]nat address-group 1 12.1.1.2 12.1.1.10
其中包含 12.1.1.12------12.1.1.10
注意1.必须是公网 2.必须是连续的IP
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
在该接口上 将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化 No-pat 添加则代表为静态多对多 不添加则是动态多对多
静态多对多多个一对一
动态多对多多个一对多
端口映射
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80
