ACL: access control list
通路控制清單,用于比對感興趣的流量,并進行“控制”。
作用:用于實作對資料封包的控制。
類型:
标準(standard):隻能比對IP頭部中的源IP位址。
擴充(extended):可以同時比對IP頭部中的源和目标IP位址。
同時還可以比對傳輸層協定。
表示:ID 通過不同範圍的ID,表示ACL的不同類型。
标準1--99
擴充100--199
Word,通過名字表示ACL。
通過名字區分不同的ACL時候,在建立之初,必須提前指定ACL的類型。
例:R(config)# ip access-list standard "name"
R(config)# ip access-list extended "name"
配置ACL步驟:
一:建立标準ACL
R(config)# ip access-list standard AAA
R(config)# 10 deny 192.168.1.1 0.0.0.0 拒絕192.168.1.1通過
R(config)# 20 permit any any 允許所用
除了192.168.1.1不能通路以外,其他都能通路。
二:調用ACL
R(config)# interface g0/0
R(config)# ip access-group AAA in
驗證:R# show ip access-list 檢視ACL配置資訊
R# show ip inerface g0/0 檢視ACL的調用資訊
針對标準/擴充ACL的“允許”所有
配置指令:标準ACL (standard)
R(config)# ip access-list standard permit
R(config)# 10 permit any
擴充ACL(extended)
R(config)# ip access-list extended permit
R(config)# 10 permit ip any any
注意:ACL條目是按照序列号從小到大,逐條檢查的。
如果該條目沒有比對住,則比對下一條。
如果該條目比對住了,則執行下面的5-6作用。
每個ACL後面都有一個隐含的拒絕所有。
1.ACL如果多個條目,則按照每個條目序列号從小到大依次檢查、比對。
2.首先檢查資料包的源頭IP位址,是否可以比對,如果不可以,則檢查
下一ACL條目。如果可以則繼續(3)。
3.其次檢查資料包的目标IP位址,是否可以比對,如果不可以,則檢查下
一條ACL條目,如果可以,則繼續(4)。
4.再次檢查資料包的IP後面的協定的類型,是否可以比對,如果不可以,
則檢查下一條ACL目錄,如果可以則繼續(5)。
5.檢視該ACL條目的動作:permit/deny
6.确定該ACL調用在端口的什麼方向?
如果是out,則表示允許/拒絕轉發出去’
如果是in,則表示允許/拒絕轉發出去
ACL調用建議:
1.如果是想通過标準ACL,拒絕通路某一個目标主機。
則将ACL調用在距離目标主機盡可能近的地方。
2.如果想通過标準ACL,控制某一個源IP位址主機的
上網行為,則将調用在距離源IP位址主機盡可能近的地方
3.擴充ACL應該調用在距離源IP盡可能近的地方,因為擴充ACL
可以精确的區分不同類型的流量。
例:擴充ACL配置要求
192.168.1.1--192.168.2.9
ping:icmp 不通
telnet:tcp23 通
配置指令;
R(config)# ip access-list extended HAHA
建立擴充ACL
R(config)# 15 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.9
R(config)# 25 permit ip any any
R(config)# interface gigabitethernet 0/1
telnet流量的入端口
R(config)# ip access-group HAHA in
結果: ping 不通 telnet 通
驗證 : show ip interface brief
端口映射
外網通路内網調試:第一步看NAT表 , 第二步看路由表。
内網通路外網調試:第一步看路由表, 第二步看NAT表。
進而引出了端口映射:
通常用與外部網絡“主動”向内部網絡發起流量。
例如外部用戶端,通路公司的伺服器。
TCP--23
配置:
1.確定了以内網通路外網(PAT配置完成)
2.配置内網的交換機,開啟管理ip并且配置遠端通路密碼。
sw(config)# interface vlan 1
sw(config-if)# ip address 192.168.1.99 255.255.255.0
sw(config)# ip default-gatewag 192.168.1.254 預設網關
sw(config)# enable secret 123
sw(config)# line vty 0 4
sw(config-line)# password 456
3.配置端口映射:
靜态NAT
配置指令: 内網去往外網的路由器上寫指令
R(config)#ip nat inside source static tcp 192.168.1.99 23
12.1.1.1 1919
4.測試:pc機 telnet 12.1.1.1 1919 (去往交換機192.168.1.99)
本文轉自夜流璃雨 51CTO部落格,原文連結:http://blog.51cto.com/13399294/1977106,如需轉載請自行聯系原作者