ACL: access control list 本质作用: 匹配数据包; ACL组成: 1.条件 2.动作(deny/permit) ACL配置: 1.创建ACL 2.调用ACL interface gi0/0/0 | user-interface vty 0 4 traffic-filter in/out acl * acl * in/out 3.验证ACL ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ACL的特点: 1.acl 最后有一个隐含的允许所有(仅当ACL与 traffic-filter 结合使用时) 2.acl 不会对设备本身发起的流量起作用; ACL的类型: 1.基本 - 只能匹配数据包的源IP地址 2.高级 - 可以匹配源IP、目标IP、协议字段、源端口、目标端口 ACL的表示: 1.id : 2000~2999 ,基本ACL 3000~3999 ,高级ACL 2.name: acl name {名字} basic | advcance ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ acl 2000 rule 10 deny source sajfjsafjasfd rule 20 acl 3000 rule 10 deny protocol source sajfjsafjasfd destination sdklfjasf rule 20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 为什么讲 NAT ? 1.交换 2.路由 3.流量控制 - ACL 4.上网 - 私有网络/公有网络 IP : 地址空间是有限的; IP地址在使用过程中存在一个浪费的问题; -解决方案:(缓解IP地址快速耗尽) @私有地址/公有地址 @子网划分 @IPv6 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NAT: 在网络边界,将内网向外网发送的数据中的 源IP地址(私有的)转化为公有的IP地址(自家买的); -MAC地址表 [mac -- port ] -路由表 [网段 - port ] -ARP表 [IP - Mac] -ACL -NAT (地址转换表) [私有IP --- 公有IP ] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NAT: 静态NAT -优点 简单 -缺点: 私有:公有 = 1:1,不节省IP地址; 动态NAT -优点: 配置简单; -不足 私有:公有 = 1:1 ,即不节省IP地址; 10.1.1.1 --- 110.1.1.10 10.1.1.2 --- 110.1.1.11 PAT(PNAT |NAPT | 端口复用 ) 10.1.1.1:random ----> 110.1.1.10:1001 10.1.1.2:random ----> 110.1.1.10:1002 备注:random,随机的意思 -动态 PNAT (私有地址:公有地址 = 多:1) -静态 PNAT (私有地址:公有地址 = 多:1) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 静态NAT配置: 1.在数据包的出接口启用 静态NAT 功能; 2.在数据包的出接口配置 NAT 转换条目; interface gi0/0/1 nat static enable nat static global {公网IP地址} inside {私有IP地址} ============================================================ 传统动态NAT配置: 1.创建ACL,匹配感兴趣的流量; 2.创建 NAT 地址组; 3.在数据包的出接口,配置动态NAT转换命令; acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit nat address-group 1 {起始地址} {结束地址} ! interface gi0/0/1 nat outbound 2000 address-group 1 no-pat quit ============================================================= 动态PAT(PNAT)配置: 1.创建ACL,匹配感兴趣的流量; 2.创建 NAT 地址组(尽量用最少的公网IP); 3.在数据包的出接口,配置动态NAT转换命令; acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit nat address-group 1 110.1.1.10 110.1.1.10 //前后地址相同,表示地址组,只有一个地址 ! interface gi0/0/1 nat outbound 2000 address-group 1 quit display nat session all -> 查看 NAT 的转换表 ============================================================ Easy IP (最常见的配置方案) 1.抓取感兴趣流量; 2.在数据包的出接口配置 easy ip . acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit ! interface gi0/0/1 ip address 110.1.1.1 255.255.255.0 nat outbound 2000 quit ============================================================= NAT server : 为了让外部网络用户,主动访问内部网络中的设备,比如服务器, 我们可以在公司的边界网络设备上 的 "数据包出接口"上,配置NAT server 来实现。 其实该条目,本质就是一个静态的 NAT 条目,只不过是在 IP 地址 的基础上添加了 端口号。 此时,就需要我们搞清楚: 当路由器上同时包含多个工作表(路由表+NAT表)的时候, 数据包在转发的过程中,是如何查找这些工作表的: 内网向外网发送的数据包,路由器是先查找路由表,再查找NAT表; 外网向内网发送的数据包,路由器是先查找NAT表, 在查找路由表; - nat server 配置: 在数据包的出接口上 NAT Server,本质上,是一个静态NAT条目; 只不过在公网IP地址的基础上,添加了"端口号",用于区分不同的内网 主机。 interface gi0/0/1 nat server protocol tcp 110.1.1.100 80 inside 10.1.1.2 80 //如果外部用户访问 110.1.1.100 的 80 端口,则会转发到内网IP地址为 10.1.1.2 的 80 端口,即访问的是该设备的 Web 服务。
