ACL控制流量

     ACL: access  control  list 

    访问控制列表，用于匹配感兴趣的流量，并进行“控制”。

    作用：用于实现对数据报文的控制。

    类型：

         标准（standard）：只能匹配IP头部中的源IP地址。

         扩展（extended）：可以同时匹配IP头部中的源和目标IP地址。

         同时还可以匹配传输层协议。

    表示：ID 通过不同范围的ID,表示ACL的不同类型。

           标准1--99

           扩展100--199

         Word，通过名字表示ACL。

          通过名字区分不同的ACL时候，在创建之初，必须提前指定ACL的类型。

    例：R（config）# ip access-list standard "name"

        R(config)#   ip access-list extended "name"

       配置ACL步骤：

                一：创建标准ACL 

              R（config）# ip access-list standard  AAA

              R（config）# 10 deny 192.168.1.1 0.0.0.0  拒绝192.168.1.1通过

              R（config）# 20 permit any any            允许所用

              除了192.168.1.1不能访问以外，其他都能访问。

              二：调用ACL

               R（config）# interface g0/0   

               R（config）# ip access-group AAA in 

           验证：R# show ip access-list     查看ACL配置信息

                 R# show ip inerface g0/0   查看ACL的调用信息

        针对标准/扩展ACL的“允许”所有

             配置命令：标准ACL （standard）

                         R(config)# ip access-list standard permit

                         R(config)# 10 permit any 

                      扩展ACL（extended）

                         R(config)# ip access-list extended permit

                         R(config)# 10 permit ip any any

          注意：ACL条目是按照序列号从小到大，逐条检查的。

                如果该条目没有匹配住，则匹配下一条。

                如果该条目匹配住了，则执行下面的5-6作用。

                 每个ACL后面都有一个隐含的拒绝所有。

      1.ACL如果多个条目，则按照每个条目序列号从小到大依次检查、匹配。

      2.首先检查数据包的源头IP地址，是否可以匹配，如果不可以，则检查

   下一ACL条目。如果可以则继续（3）。

      3.其次检查数据包的目标IP地址，是否可以匹配，如果不可以，则检查下

一条ACL条目，如果可以，则继续（4）。

      4.再次检查数据包的IP后面的协议的类型，是否可以匹配，如果不可以，

则检查下一条ACL目录，如果可以则继续（5）。

      5.查看该ACL条目的动作：permit/deny

      6.确定该ACL调用在端口的什么方向？

        如果是out，则表示允许/拒绝转发出去’

        如果是in，则表示允许/拒绝转发出去

    ACL调用建议：

    1.如果是想通过标准ACL，拒绝访问某一个目标主机。

     则将ACL调用在距离目标主机尽可能近的地方。

    2.如果想通过标准ACL，控制某一个源IP地址主机的

   上网行为，则将调用在距离源IP地址主机尽可能近的地方

    3.扩展ACL应该调用在距离源IP尽可能近的地方，因为扩展ACL

  可以精确的区分不同类型的流量。

   例：扩展ACL配置要求

           192.168.1.1--192.168.2.9

           ping:icmp         不通

           telnet:tcp23       通

        配置命令;

             R(config)# ip access-list extended HAHA 

             创建扩展ACL

     R（config）# 15 deny icmp 192.168.1.0  0.0.0.255 host 192.168.2.9

     R(config)# 25 permit ip any  any

     R(config)# interface gigabitethernet 0/1   

            telnet流量的入端口

     R(config)# ip access-group HAHA in 

   结果： ping  不通     telnet  通

   验证 : show ip interface brief

                端口映射

     外网访问内网调试：第一步看NAT表 ， 第二步看路由表。

     内网访问外网调试：第一步看路由表， 第二步看NAT表。

   从而引出了端口映射：

      通常用与外部网络“主动”向内部网络发起流量。

      例如外部客户端，访问公司的服务器。

        TCP--23  

     配置：

      1.确保了以内网访问外网（PAT配置完成）

     2.配置内网的交换机，开启管理ip并且配置远程访问密码。

      sw(config)# interface vlan 1

      sw(config-if)#  ip address 192.168.1.99 255.255.255.0

      sw(config)#  ip default-gatewag 192.168.1.254 默认网关

      sw(config)#  enable secret 123

      sw(config)#  line vty 0 4

      sw(config-line)#  password 456

     3.配置端口映射：

            静态NAT

           配置命令： 内网去往外网的路由器上写命令

     R(config)#ip nat inside source static tcp 192.168.1.99  23 

      12.1.1.1  1919            

    4.测试：pc机 telnet 12.1.1.1 1919 （去往交换机192.168.1.99）

             本文转自夜流璃雨 51CTO博客，原文链接：http://blog.51cto.com/13399294/1977106，如需转载请自行联系原作者