ACL控制流量

     ACL: access  control  list 

    通路控制清單，用于比對感興趣的流量，并進行“控制”。

    作用：用于實作對資料封包的控制。

    類型：

         标準（standard）：隻能比對IP頭部中的源IP位址。

         擴充（extended）：可以同時比對IP頭部中的源和目标IP位址。

         同時還可以比對傳輸層協定。

    表示：ID 通過不同範圍的ID,表示ACL的不同類型。

           标準1--99

           擴充100--199

         Word，通過名字表示ACL。

          通過名字區分不同的ACL時候，在建立之初，必須提前指定ACL的類型。

    例：R（config）# ip access-list standard "name"

        R(config)#   ip access-list extended "name"

       配置ACL步驟：

                一：建立标準ACL 

              R（config）# ip access-list standard  AAA

              R（config）# 10 deny 192.168.1.1 0.0.0.0  拒絕192.168.1.1通過

              R（config）# 20 permit any any            允許所用

              除了192.168.1.1不能通路以外，其他都能通路。

              二：調用ACL

               R（config）# interface g0/0   

               R（config）# ip access-group AAA in 

           驗證：R# show ip access-list     檢視ACL配置資訊

                 R# show ip inerface g0/0   檢視ACL的調用資訊

        針對标準/擴充ACL的“允許”所有

             配置指令：标準ACL （standard）

                         R(config)# ip access-list standard permit

                         R(config)# 10 permit any 

                      擴充ACL（extended）

                         R(config)# ip access-list extended permit

                         R(config)# 10 permit ip any any

          注意：ACL條目是按照序列号從小到大，逐條檢查的。

                如果該條目沒有比對住，則比對下一條。

                如果該條目比對住了，則執行下面的5-6作用。

                 每個ACL後面都有一個隐含的拒絕所有。

      1.ACL如果多個條目，則按照每個條目序列号從小到大依次檢查、比對。

      2.首先檢查資料包的源頭IP位址，是否可以比對，如果不可以，則檢查

   下一ACL條目。如果可以則繼續（3）。

      3.其次檢查資料包的目标IP位址，是否可以比對，如果不可以，則檢查下

一條ACL條目，如果可以，則繼續（4）。

      4.再次檢查資料包的IP後面的協定的類型，是否可以比對，如果不可以，

則檢查下一條ACL目錄，如果可以則繼續（5）。

      5.檢視該ACL條目的動作：permit/deny

      6.确定該ACL調用在端口的什麼方向？

        如果是out，則表示允許/拒絕轉發出去’

        如果是in，則表示允許/拒絕轉發出去

    ACL調用建議：

    1.如果是想通過标準ACL，拒絕通路某一個目标主機。

     則将ACL調用在距離目标主機盡可能近的地方。

    2.如果想通過标準ACL，控制某一個源IP位址主機的

   上網行為，則将調用在距離源IP位址主機盡可能近的地方

    3.擴充ACL應該調用在距離源IP盡可能近的地方，因為擴充ACL

  可以精确的區分不同類型的流量。

   例：擴充ACL配置要求

           192.168.1.1--192.168.2.9

           ping:icmp         不通

           telnet:tcp23       通

        配置指令;

             R(config)# ip access-list extended HAHA 

             建立擴充ACL

     R（config）# 15 deny icmp 192.168.1.0  0.0.0.255 host 192.168.2.9

     R(config)# 25 permit ip any  any

     R(config)# interface gigabitethernet 0/1   

            telnet流量的入端口

     R(config)# ip access-group HAHA in 

   結果： ping  不通     telnet  通

   驗證 : show ip interface brief

                端口映射

     外網通路内網調試：第一步看NAT表 ， 第二步看路由表。

     内網通路外網調試：第一步看路由表， 第二步看NAT表。

   進而引出了端口映射：

      通常用與外部網絡“主動”向内部網絡發起流量。

      例如外部用戶端，通路公司的伺服器。

        TCP--23  

     配置：

      1.確定了以内網通路外網（PAT配置完成）

     2.配置内網的交換機，開啟管理ip并且配置遠端通路密碼。

      sw(config)# interface vlan 1

      sw(config-if)#  ip address 192.168.1.99 255.255.255.0

      sw(config)#  ip default-gatewag 192.168.1.254 預設網關

      sw(config)#  enable secret 123

      sw(config)#  line vty 0 4

      sw(config-line)#  password 456

     3.配置端口映射：

            靜态NAT

           配置指令： 内網去往外網的路由器上寫指令

     R(config)#ip nat inside source static tcp 192.168.1.99  23 

      12.1.1.1  1919            

    4.測試：pc機 telnet 12.1.1.1 1919 （去往交換機192.168.1.99）

             本文轉自夜流璃雨 51CTO部落格，原文連結：http://blog.51cto.com/13399294/1977106，如需轉載請自行聯系原作者