hcia-7

admin管理员组

文章数量:1568356

目录

ACL访问控制列表

访问控制

分类：

配置命令：

【1】标准 --- 由于标准ACL仅关注数据包中的源ip地址；故调用时必须尽量的靠近目标；

【2】扩展列表配置  --由于扩展ACL 源、目ip地址均关注，故调用时尽量靠近源；尽早处理流量；

【3】使用扩展列表，同时关注目标端口号；

NAT 

NAT网络地址转换

一对多：多个私有ip地址对应同一个公有ip地址   PAT端口地址转换

一对一的配置：

端口映射：

多对多配置：

---

ACL访问控制列表

作用：

1、访问控制   

在路由器流量进或出的接口上，匹配流量产生动作---允许、拒绝

2、定义感兴趣流量 

抓取流量，之后给到其他的策略，让其他策略进行工作；

访问控制

匹配规则：

至上而下逐一匹配，上条匹配按上条执行，不再查看下条；cisco系默认末尾隐含拒绝所有；华为系末尾隐含允许所有；

分类：

1、标准 ---  仅关注数据包中的源ip地址

2、扩展 ---  关注数据包中的源、目标ip地址，目标端口号或协议号

配置命令：

 

【1】标准 --- 由于标准ACL仅关注数据包中的源ip地址；故调用时必须尽量的靠近目标；

避免对其他流量访问的误删；

编号2000-2999 为标准列表编号，一个编号为一张表；

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source  192.168.0.0 0.0.255.255

[r2-acl-basic-2000]rule deny source  any

                                     动作         源ip地址

源ip地址需要使用通配符来匹配范围；通配符和反掩码的区别，在于通配符可以0与1穿插书写；

ACL定义完成后，必须在接口上调用方可执行；调用时一定注意方向；一个接口的一个方向上只能调用一张表；

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ?  

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

【2】扩展列表配置  --由于扩展ACL 源、目ip地址均关注，故调用时尽量靠近源；尽早处理流量；

[r1]acl 3000   扩展列表编号  3000-3999

[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0

                                                              源ip地址                     目标ip地址

源、目ip地址位置，使用通配符0标记一个主机，或使用反1标记段，或使用any均可

【3】使用扩展列表，同时关注目标端口号；

目标端口号：服务端使用注明端口来确定具体的服务；

ICMPV4 -- internet控制管理协议 -- ping 

Telnet  -- 远程登录  明文（不加密） 基于tcp，目标端口23；

条件：1、被登录设备与登录设备网络可达

           2、被登录设备进行了telnet服务配置

[r1]aaa

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

[r1-aaa]local-user panxi service-type telnet

创建名为panxi的账号，权限最大，密码123456；该账号仅用于telnet 远程登录

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa   在vty线上开启认证

[r1]acl 3001  

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23

         拒绝192.168.1.10 对192.168.1.1 访问时，传输层协议为tcp，且目标端口号为23；

[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0

       仅拒绝192.168.1.10 对192.168.1.1的ICMP访问

 

NAT 

IPV4地址中，存在私有与公有IP地址的区别：

公有：具有全球唯一性，可以在互联网通讯，需要付费使用

私有：具有本地唯一性，不能在互联网通讯，无需付费使用

私有ip地址：

10.0.0.0/8   172.16.0.0/16-172.31.0.0/16  192.168.0.0/24-192.168.255.0/24

NAT网络地址转换

 边界路由器上--连接外网的公有ip地址所在接口配置

边界路由器上，对进、出的流量进入源或目标ip地址的修改；

一对一  一对多   对多对   端口映射

一对多：多个私有ip地址对应同一个公有ip地址   PAT端口地址转换

先使用ACL定义可以被转换的私有ip地址范围

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[r2]int g0/0/2  公网所在接口；acl2000列表中关注的私有ip地址，通过该接口转出时，其源ip地址修改为该接口公有ip

[r2-GigabitEthernet0/0/2]nat outbound 2000

一对一的配置：

连接公网的接口配置

[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside  192.168.1.10

                                   公有               私有

端口映射：

[r2-GigabitEthernet0/0/2]nat server protocol  tcp global  current-interface 80 inside  192.168.1.10 80

Warning:The port 80 is well-known port. If you continue it may cause function failure.

Are you sure to continue?[Y/N]:y

外部访问该接口ip-12.1.1.1且目标端口号为80时，将被修改为192.168.1.10目标端口80；

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80

外部访问该物理接口ip-12.1.1.1 且目标端口为8888时，将被修改为192.168.1.20 目标端口80；

多对多配置：

[r1]nat address-group 1 12.1.1.3 12.1.1.10  先定义公有ip地址范围

[r1]acl 2000  再定义私有ip地址的范围

[r1-acl-basic-2000]rule  permit source  172.16.0.0 0.0.255.255

最后在连接公网的接口上配置多对多

[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

                               私有             公有

[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  一对一（多个一对一）

本文标签： HCIA