內(nèi)容回顧：

       網(wǎng)絡(luò)
  IP
規(guī)模越來(lái)越大
浪費(fèi)越來(lái)越嚴(yán)重
IP地址空間有限
   -公有地址|私有地址  （NAT）
   -子網(wǎng)劃分
   -IPv6

內(nèi)網(wǎng)：私有地址
-通信
     私有地址沒(méi)有資格在 Internet 流通；

     出去，但是回不來(lái)

     讓企業(yè)的數(shù)據(jù)包在出去的時(shí)候，
     攜帶的并不是內(nèi)部的私有地址，
     而是自己花錢(qián)買(mǎi)的公網(wǎng)IP地址；

     數(shù)據(jù)在傳輸過(guò)程中，IP地址是永遠(yuǎn)不會(huì)變化的（默認(rèn)情況下）。

     數(shù)據(jù)在傳輸過(guò)程中，MAC地址是隨時(shí)變化的，每經(jīng)過(guò)一個(gè)網(wǎng)段，都會(huì)
         變化一次。

     NAT：
        將內(nèi)網(wǎng)的數(shù)據(jù)包中的源IP地址，轉(zhuǎn)換為購(gòu)買(mǎi)的公網(wǎng)IP地址；

        NAT工作的時(shí)候，是依靠一個(gè)核心工作表：
                                             NAT轉(zhuǎn)換表；
                    私有地址1   -----  公有地址1

--------
    NAT：network address translation 
 靜態(tài)NAT：
   在邊界設(shè)備上，手動(dòng)的創(chuàng)建 NAT 轉(zhuǎn)換條目；

   私有：公有 =====   1:1

  動(dòng)態(tài)NAT：
   在邊界設(shè)備上，設(shè)備基于數(shù)據(jù)包觸發(fā)而形成的 NAT 轉(zhuǎn)換條目，
   不需要人工干預(yù)。如果一個(gè)NAT轉(zhuǎn)換條目在一段時(shí)間之內(nèi)不使用，
   在會(huì)自動(dòng)的在 NAT 轉(zhuǎn)換表中自動(dòng)刪除；

   -基本動(dòng)態(tài)NAT
            私有:公有  ===== 1:1

   -P-NAT（端口復(fù)用）
            私有:公有  ===== N:1

問(wèn)題：
    內(nèi)網(wǎng)主動(dòng)ping外網(wǎng)，是可以通的；
    反之，則不通。

原因：

 in        路由表
           NAT表        out  

 NAT高級(jí)應(yīng)用：
端口映射

ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011  

---

 ACL:access control list ，訪(fǎng)問(wèn)  控制  列表

  -作用：
   匹配感興趣的流量。
 -實(shí)現(xiàn)：
   #規(guī)則
   #動(dòng)作(允許/拒絕)
   #事件     
 -表示：
   # ID 
   # name 
 -類(lèi)型：
   #標(biāo)準(zhǔn)ACL/基本ACL
          ID 
          name
   #擴(kuò)展ACL/高級(jí)ACL
          ID 
          name

---

 ACL的配置思路：

0、確保原有數(shù)據(jù)的連通性(基于現(xiàn)網(wǎng)需要來(lái)確定)；
      在沒(méi)有實(shí)施ACL之前，PC-1 與 PC-2 之間是互通的；

1、查看設(shè)備上已經(jīng)存在的ACL
      [R1] display acl [2000] | all 

2、創(chuàng)建ACL
      [R1] acl 2000 [match-order  {config} | {auto} ]
      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 

3、調(diào)用ACL
      [R1]interface gi0/0/0
      [R1-gi0/0/0]tranffic-filter inbound acl 2000
4、驗(yàn)證、測(cè)試、保存

      display acl 2000 //查看ACL的配置條目信息；
      display traffic-filter applied-record //查看ACL的調(diào)用信息；
      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
                       //查看特定端口上調(diào)用的ACL的使用信息；
      ping x.x.x.x
      save 

實(shí)驗(yàn)拓?fù)鋱D：

站在用戶(hù)的角度思考問(wèn)題，與客戶(hù)深入溝通，找到賽罕網(wǎng)站設(shè)計(jì)與賽罕網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶(hù)體驗(yàn)好的作品，建站類(lèi)型包括：成都網(wǎng)站建設(shè)、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、主機(jī)域名、虛擬主機(jī)、企業(yè)郵箱。業(yè)務(wù)覆蓋賽罕地區(qū)。

PC-1 ---> PC-2 
   #研究清楚流量的轉(zhuǎn)發(fā)路徑（來(lái)回路徑）
        &干掉去的流量
        &干掉回的流量
   #研究流量本身(特點(diǎn)+結(jié)構(gòu))

          L2 +  L3 + ICMP + FCS 

              ip-acl 
                   L3 
                     source-ip  +  destination-ip 
                          基本ACL 
                               -僅僅關(guān)注IP頭部中的 source-ip ; 
                          高級(jí)ACL 
                               -可以同時(shí)關(guān)注 source 和 destination ，
                                 并且，還可以關(guān)注 IP 頭部后面的內(nèi)容，
                                 比如 TCP/UDP             

====================================================================

 刪除ACL：
1、正確的刪除姿勢(shì)
       #首先解除 ACL 調(diào)用關(guān)系
           Interface gi0/0/0 
               undo traffic-filter inbound

       #其次刪除 ACL 條目本身
           undo acl 2000 

       #最后刪除的最終結(jié)果

2、當(dāng)調(diào)用一個(gè)不存在的 ACL 時(shí)，表示的是允許所有；

      注意：
1、同一個(gè)端口的，同一個(gè)方向，只能同時(shí)存在一個(gè) ACL ；

2、如果想更改端口上調(diào)用的 ACL ，必須：
   首先，刪除端口上的 ACL 調(diào)用命令；
   再次，重新調(diào)用一個(gè)新的 ACL ； 

3、端口上的 ACL ，不允許直接覆蓋；

4、華為中的ACL，沒(méi)有匹配住的流量，默認(rèn)是允許的；

5、基本ACL/標(biāo)準(zhǔn)ACL，強(qiáng)烈建議調(diào)用在“距離目標(biāo)設(shè)備”近的地方；

---

  3層ACL
 基本ACL 
       數(shù)字ACL
       命名ACL
 高級(jí)ACL 
       數(shù)字ACL 
       命名ACL 
2層ACL

     1、命名的ACL在創(chuàng)建的時(shí)候，需要指定類(lèi)型；
     2、在ACL中，如果不寫(xiě) source 或者不寫(xiě) destination ，則表示所有源或目標(biāo)
    3、在配置ACL的過(guò)程中，如果在輸入 source 或 destination 的時(shí)候，直接回車(chē)
     則代表“所有”；

=================================================================

    R2：PC1-PC2不通，其他全部互通；
     1、創(chuàng)建ACL
       [R2]acl 3000
       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
                                           destination 192.168.10.1 0.0.0.0
     2、調(diào)用ACL
       [R2]interface gi0/0/0 
       [R2-gi0/0/0]traffic-filter inbound acl 3000
     3、驗(yàn)證、測(cè)試、保存
       display acl 3000
       display traffic-filter applied-record
       PC2:
          ping 192.168.10.1 ,no
          ping 192.168.10.3 ,yes
       PC4/5:
          ping x.x.x.x , yes 

       <R2>save

    R2:PC4/5與全網(wǎng)其他主機(jī)互通，其他流量全部不通；
     1、創(chuàng)建ACL 
          [R2]acl name Only-PC4-5 advance 
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule 100 deny ip         
     2、調(diào)用ACL 
         [R2]interface gi0/0/0
         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
     3、驗(yàn)證、測(cè)試、保存 

===============================================================

    小實(shí)驗(yàn)配置需求：
    1、PC-1與PC-2之間的任何類(lèi)型的流量都無(wú)法互通；
    2、PC-3可以 ping 192.168.30.88(server-2)，但是無(wú)法 ping www.ntd1711.com ； 
    3、PC-4與PC-3之間的任何類(lèi)型的流量都無(wú)法互通；
    4、Client-1 可以 ping www.ntd1711.com，但是無(wú)法通過(guò)自帶的瀏覽器打開(kāi)
    Server-2中的 web 功能（即，www.ntd1711.com）

     秘訣：
       想要控制流量，必須先認(rèn)識(shí)流量的封裝方式、使用的協(xié)議；
       想要控制流量，必須先認(rèn)識(shí)流量的轉(zhuǎn)發(fā)路徑和方向；

     acl access console list 訪(fǎng)問(wèn)控制列表
     基本acl   2000-2999
     高級(jí)acl   3000-3999
     acl 3000
    rule，從5開(kāi)始，每一條隔5，從小往大執(zhí)行
    in/out
    接口
    進(jìn)入接口，traffic-filter in/out acl 3000

    創(chuàng)建acl
    acl number 3369  
     rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0
    interface GigabitEthernet0/0/0
    調(diào)用acl
    ip address 192.168.1.254 255.255.255.0 
    traffic-filter inbound acl 3369
    一堆查詢(xún)
    [R1]display acl all   查詢(xún)acl列表
    [R1]display traffic-filter applied-record    查詢(xún)流量過(guò)濾應(yīng)用記錄
    [R1]display traffic-filter statistics interface G0/0/0 inbound
     查詢(xún)接口上in方向流量信息
===========================================
       Telnet管理
        aaa認(rèn)證：
AAA-----身份驗(yàn)證(Authentication)、授權(quán) (Authorization)和統(tǒng)計(jì) (Accounting)Cisco開(kāi)發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。

    R3
    G0/0/1 192.168.20.2
    不允許1.1 ping

    基本ACL:匹配感興趣的流量，在匹配流量時(shí)，只能匹配源IP地址
                  配置在：建議在距離目標(biāo)地址最近的地方
    高級(jí)ACL：在匹配流量時(shí)，可以匹配源地址，目標(biāo)地址，傳輸層協(xié)議和端口號(hào)
                  配置在：建議在距離目標(biāo)地址最近的地方（流量轉(zhuǎn)發(fā)路徑上的設(shè)備上的端口上in/out）

分享標(biāo)題：筆記基本ACL、高級(jí)ACL
本文地址：http://www.chinadenli.net/article18/pgisgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、ChatGPT、定制開(kāi)發(fā)、響應(yīng)式網(wǎng)站、外貿(mào)建站、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)