热门标签
热门文章
- 14核8G服务器选阿里云还是腾讯云?价格性能对比
- 2深入解析Python并发编程的多线程和异步编程
- 3vscode 远程开发_vscode远程开发
- 4缓存雪崩、缓存穿透、缓存预热、缓存更新、缓存降级等问题_缓存30分钟
- 5《C++新经典Linux C++通信架构实战》第3章 Nginx开发初步_c++ 新经典 linux通信架构实战 pdf 百度网盘
- 6数据库连接池HikariCP
- 710分钟就能搭建远程开发环境?你早点怎么不出现(#`n´)!_远程硬件开发环境
- 8anaconda安装环境出现safetyerror_safetyerror: the package for mkl located at d:\ana
- 9Visual Studio 2005 sp1 安装时文件检验失败的解决方法
- 10Linux:运行存在的可执行文件提示 No such file or directory_linux no such file or directory
当前位置: article > 正文
ACL简介
作者:你好赵伟 | 2024-03-05 15:28:57
赞
踩
ACL简介
一、ACL
- ACL是由一系列permit(允许)和deny(拒绝)语句组成的、有序规则的列表
能够对收到的报文进行匹配区分
| 源IP地址、目的IP地址、协议类型 | 源端口、目的端口 | 数据 |
| IP头部 | TCP/UDP头部 | data |
- ACL的应用:
1.应用在接口的ACL-----过滤数据包 (原目ip地址,原目 mac,端口 五元组)
2.应用在路由协议-------匹配相应的路由条目
3.NA、IPSEC VPN、QOS-----匹配感兴趣的数据流
- ACL种类
- 编号2000-2999---基本ACL---依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的).
- 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999---二层ACL,MAC、VLAN-id、802.1g
-
命令格式
普通acl:
acl number 2000 启用基本acl
rule 5 deny丨permit source丨destination 192.168.1.0 0 规则编号 5(步长)源 丨目的 IP地址 通配符(确定范围)
高级acl:
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eg wwy (80)35拒绝 来源于 192.168.1.1去访问 192.168.2.1的 tcp 的80端口(不让他打开网页)
[RI]int g0/0/1
undo traffic-filter outbound
[RI]int g0/0/0
R1-GigabitEthernet0/0/1]traffic-filter inbound ac] 3000
二、NAT
- 当有数据经过并需要发出时,路由器会把私网地址改成公网地址并转发
1.静态NAT-----需要手动配置 进行关联:
- 配置好地址:
- 在企业出口路由器上的 go/0/1 口配置
- int g0/0/1ip address 200.1.1.1 255.255.255.0
- nat static enable 开启静态nat
- nat static global 200.1.1.100 inside 192.168.1.1 静态地址公网200.1.1.100内部地址192.168.1.1
2.动态NAT-----规定允许登录公网的网段,自动分配:
- nat address-group 1 200.1.1.10 200.1.1.15 #建立地址池
- ac1 number 2000
- rule 5 permit source 192.168.1.0 0.0.0.255 #给需要地址转换的 网段添加规则
- int g0/0/1undo nat static globa1 200.1.1.100 inside 192.168.1.1nat outbound 2000 address-group 1 no-pat #添加规则
- 不生效
- save
- reboot 重启
- display nat session a11
3.NATPT (端口映射)--------NATServer----内网服务器对外提供服务,针对目的ip和目的端口映射 内网服务器的相应端口映射成路由器公网ip地址的相应端口
- 配置好ip地址
- 企业出口路由器需要配置默认路由
- 在企业出口路由器上 的g0/0/1 口配置int g0/0/1
- ip address 200.11.1 255.255.255.0undo nat static global 200.1.1.100 nside 192.168.1.1 netmask 255.255.255.255nat server protoco tcp global current-interface 80 inside 192.168.1.100 80nat static enable
4.Easy-IP
1.使用ACL列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
- acl 2000
- rule permit source 192.168.1.0 0.0.0.255
- int g0/0/1
- undo nat static global 200.1.1.100 inside 192.168.1. netmask 255.255.255.2555 nat outbound 2000
- display nat session al
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/192030
推荐阅读
相关标签
