內容回顧:
網絡
IP
規模越來越大
浪費越來越嚴重
IP地址空間有限
-公有地址|私有地址 (NAT)
-子網劃分
-IPv6
內網:私有地址
-通信
私有地址沒有資格在 Internet 流通;
出去,但是回不來
讓企業的數據包在出去的時候,
攜帶的并不是內部的私有地址,
而是自己花錢買的公網IP地址;
數據在傳輸過程中,IP地址是永遠不會變化的(默認情況下)。
數據在傳輸過程中,MAC地址是隨時變化的,每經過一個網段,都會
變化一次。
NAT:
將內網的數據包中的源IP地址,轉換為購買的公網IP地址;
NAT工作的時候,是依靠一個核心工作表:
NAT轉換表;
私有地址1 ----- 公有地址1
--------
NAT:network address translation
靜態NAT:
在邊界設備上,手動的創建 NAT 轉換條目;
私有:公有 ===== 1:1
動態NAT:
在邊界設備上,設備基于數據包觸發而形成的 NAT 轉換條目,
不需要人工干預。如果一個NAT轉換條目在一段時間之內不使用,
在會自動的在 NAT 轉換表中自動刪除;
-基本動態NAT
私有:公有 ===== 1:1
-P-NAT(端口復用)
私有:公有 ===== N:1
問題:
內網主動ping外網,是可以通的;
反之,則不通。
原因:
in 路由表
NAT表 out
NAT高級應用:
端口映射
ip nat inside source static tcp 192.168.1.1 23 100.1.1.1 10011 ACL:access control list ,訪問 控制 列表
-作用:
匹配感興趣的流量。
-實現:
#規則
#動作(允許/拒絕)
#事件
-表示:
# ID
# name
-類型:
#標準ACL/基本ACL
ID
name
#擴展ACL/高級ACL
ID
name ACL的配置思路:
0、確保原有數據的連通性(基于現網需要來確定);
在沒有實施ACL之前,PC-1 與 PC-2 之間是互通的;
1、查看設備上已經存在的ACL
[R1] display acl [2000] | all
2、創建ACL
[R1] acl 2000 [match-order {config} | {auto} ]
[R1-acl-basic-2000] rule [id] deny source 192.168.10.1 0.0.0.0
3、調用ACL
[R1]interface gi0/0/0
[R1-gi0/0/0]tranffic-filter inbound acl 2000
4、驗證、測試、保存
display acl 2000 //查看ACL的配置條目信息;
display traffic-filter applied-record //查看ACL的調用信息;
display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
//查看特定端口上調用的ACL的使用信息;
ping x.x.x.x
save 實驗拓撲圖:
PC-1 ---> PC-2
#研究清楚流量的轉發路徑(來回路徑)
&干掉去的流量
&干掉回的流量
#研究流量本身(特點+結構)
L2 + L3 + ICMP + FCS
ip-acl
L3
source-ip + destination-ip
基本ACL
-僅僅關注IP頭部中的 source-ip ;
高級ACL
-可以同時關注 source 和 destination ,
并且,還可以關注 IP 頭部后面的內容,
比如 TCP/UDP ====================================================================
刪除ACL:
1、正確的刪除姿勢
#首先解除 ACL 調用關系
Interface gi0/0/0
undo traffic-filter inbound
#其次刪除 ACL 條目本身
undo acl 2000
#最后刪除的最終結果
2、當調用一個不存在的 ACL 時,表示的是允許所有;
注意:
1、同一個端口的,同一個方向,只能同時存在一個 ACL ;
2、如果想更改端口上調用的 ACL ,必須:
首先,刪除端口上的 ACL 調用命令;
再次,重新調用一個新的 ACL ;
3、端口上的 ACL ,不允許直接覆蓋;
4、華為中的ACL,沒有匹配住的流量,默認是允許的;
5、基本ACL/標準ACL,強烈建議調用在“距離目標設備”近的地方; 3層ACL
基本ACL
數字ACL
命名ACL
高級ACL
數字ACL
命名ACL
2層ACL
1、命名的ACL在創建的時候,需要指定類型;
2、在ACL中,如果不寫 source 或者不寫 destination ,則表示所有源或目標
3、在配置ACL的過程中,如果在輸入 source 或 destination 的時候,直接回車
則代表“所有”;
=================================================================
R2:PC1-PC2不通,其他全部互通;
1、創建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
destination 192.168.10.1 0.0.0.0
2、調用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、驗證、測試、保存
display acl 3000
display traffic-filter applied-record
PC2:
ping 192.168.10.1 ,no
ping 192.168.10.3 ,yes
PC4/5:
ping x.x.x.x , yes
<R2>save
R2:PC4/5與全網其他主機互通,其他流量全部不通;
1、創建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule 100 deny ip
2、調用ACL
[R2]interface gi0/0/0
[R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
3、驗證、測試、保存
===============================================================
小實驗配置需求:
1、PC-1與PC-2之間的任何類型的流量都無法互通;
2、PC-3可以 ping 192.168.30.88(server-2),但是無法 ping www.ntd1711.com ;
3、PC-4與PC-3之間的任何類型的流量都無法互通;
4、Client-1 可以 ping www.ntd1711.com,但是無法通過自帶的瀏覽器打開
Server-2中的 web 功能(即,www.ntd1711.com)
秘訣:
想要控制流量,必須先認識流量的封裝方式、使用的協議;
想要控制流量,必須先認識流量的轉發路徑和方向;
acl access console list 訪問控制列表
基本acl 2000-2999
高級acl 3000-3999
acl 3000
rule,從5開始,每一條隔5,從小往大執行
in/out
接口
進入接口,traffic-filter in/out acl 3000
創建acl
acl number 3369
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0
interface GigabitEthernet0/0/0
調用acl
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3369
一堆查詢
[R1]display acl all 查詢acl列表
[R1]display traffic-filter applied-record 查詢流量過濾應用記錄
[R1]display traffic-filter statistics interface G0/0/0 inbound
查詢接口上in方向流量信息
===========================================
Telnet管理
aaa認證:
AAA-----身份驗證(Authentication)、授權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。
R3
G0/0/1 192.168.20.2
不允許1.1 ping
基本ACL:匹配感興趣的流量,在匹配流量時,只能匹配源IP地址
配置在:建議在距離目標地址最近的地方
高級ACL:在匹配流量時,可以匹配源地址,目標地址,傳輸層協議和端口號
配置在:建議在距離目標地址最近的地方(流量轉發路徑上的設備上的端口上in/out)
