笔记 基本ACL 、 高级ACL

 内容回顾：       网络  IP规模越来越大浪费越来越严重IP地址空间有限   -公有地址|私有地址  （NAT）   -子网划分   -IPv6内网：私有地址-通信     私有地址没有资格在 Internet 流通；     出去，但是回不来     让企业的数据包在出去的时候，     携带的并不是内部的私有地址，     而是自己花钱买的公网IP地址；     数据在传输过程中，IP地址是永远不会变化的（默认情况下）。     数据在传输过程中，MAC地址是随时变化的，每经过一个网段，都会         变化一次。     NAT：        将内网的数据包中的源IP地址，转换为购买的公网IP地址；        NAT工作的时候，是依靠一个核心工作表：                                             NAT转换表；                    私有地址1   -----  公有地址1--------    NAT：network address translation  静态NAT：   在边界设备上，手动的创建 NAT 转换条目；   私有：公有 =====   1:1  动态NAT：   在边界设备上，设备基于数据包触发而形成的 NAT 转换条目，   不需要人工干预。如果一个NAT转换条目在一段时间之内不使用，   在会自动的在 NAT 转换表中自动删除；   -基本动态NAT            私有:公有  ===== 1:1   -P-NAT（端口复用）            私有:公有  ===== N:1问题：    内网主动ping外网，是可以通的；    反之，则不通。原因： in        路由表           NAT表        out   NAT高级应用：端口映射ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011  

 ACL:access control list ，访问  控制  列表  -作用：   匹配感兴趣的流量。 -实现：   #规则   #动作(允许/拒绝)   #事件      -表示：   # ID    # name  -类型：   #标准ACL/基本ACL          ID           name   #扩展ACL/高级ACL          ID           name

 ACL的配置思路：0、确保原有数据的连通性(基于现网需要来确定)；      在没有实施ACL之前，PC-1 与 PC-2 之间是互通的；1、查看设备上已经存在的ACL      [R1] display acl [2000] | all 2、创建ACL      [R1] acl 2000 [match-order  {config} | {auto} ]      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 3、调用ACL      [R1]interface gi0/0/0      [R1-gi0/0/0]tranffic-filter inbound acl 20004、验证、测试、保存      display acl 2000 //查看ACL的配置条目信息；      display traffic-filter applied-record //查看ACL的调用信息；      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound                       //查看特定端口上调用的ACL的使用信息；      ping x.x.x.x      save 

实验拓扑图：

PC-1 ---> PC-2    #研究清楚流量的转发路径（来回路径）        &干掉去的流量        &干掉回的流量   #研究流量本身(特点+结构)          L2 +  L3 + ICMP + FCS               ip-acl                    L3                      source-ip  +  destination-ip                           基本ACL                                -仅仅关注IP头部中的 source-ip ;                           高级ACL                                -可以同时关注 source 和 destination ，                                 并且，还可以关注 IP 头部后面的内容，                                 比如 TCP/UDP             

====================================================================

 删除ACL：1、正确的删除姿势       #首先解除 ACL 调用关系           Interface gi0/0/0                undo traffic-filter inbound       #其次删除 ACL 条目本身           undo acl 2000        #最后删除的最终结果2、当调用一个不存在的 ACL 时，表示的是允许所有；      注意：1、同一个端口的，同一个方向，只能同时存在一个 ACL ；2、如果想更改端口上调用的 ACL ，必须：   首先，删除端口上的 ACL 调用命令；   再次，重新调用一个新的 ACL ； 3、端口上的 ACL ，不允许直接覆盖；4、华为中的ACL，没有匹配住的流量，默认是允许的；5、基本ACL/标准ACL，强烈建议调用在"距离目标设备"近的地方；

  3层ACL 基本ACL        数字ACL       命名ACL 高级ACL        数字ACL        命名ACL 2层ACL

     1、命名的ACL在创建的时候，需要指定类型；     2、在ACL中，如果不写 source 或者不写 destination ，则表示所有源或目标    3、在配置ACL的过程中，如果在输入 source 或 destination 的时候，直接回车     则代表"所有"；=================================================================    R2：PC1-PC2不通，其他全部互通；     1、创建ACL       [R2]acl 3000       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0                                           destination 192.168.10.1 0.0.0.0     2、调用ACL       [R2]interface gi0/0/0        [R2-gi0/0/0]traffic-filter inbound acl 3000     3、验证、测试、保存       display acl 3000       display traffic-filter applied-record       PC2:          ping 192.168.10.1 ,no          ping 192.168.10.3 ,yes       PC4/5:          ping x.x.x.x , yes        save    R2:PC4/5与全网其他主机互通，其他流量全部不通；     1、创建ACL           [R2]acl name Only-PC4-5 advance          [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0         [R2-acl-advance-Only-PC4-5]rule 100 deny ip              2、调用ACL          [R2]interface gi0/0/0         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5     3、验证、测试、保存 ===============================================================    小实验配置需求：    1、PC-1与PC-2之间的任何类型的流量都无法互通；    2、PC-3可以 ping 192.168.30.88(server-2)，但是无法 ping www.ntd1711.com ；     3、PC-4与PC-3之间的任何类型的流量都无法互通；    4、Client-1 可以 ping www.ntd1711.com，但是无法通过自带的浏览器打开    Server-2中的 web 功能（即，www.ntd1711.com）     秘诀：       想要控制流量，必须先认识流量的封装方式、使用的协议；       想要控制流量，必须先认识流量的转发路径和方向；     acl access console list 访问控制列表     基本acl   2000-2999     高级acl   3000-3999     acl 3000    rule，从5开始，每一条隔5，从小往大执行    in/out    接口    进入接口，traffic-filter in/out acl 3000    创建acl    acl number 3369       rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0    interface GigabitEthernet0/0/0    调用acl    ip address 192.168.1.254 255.255.255.0     traffic-filter inbound acl 3369    一堆查询    [R1]display acl all   查询acl列表    [R1]display traffic-filter applied-record    查询流量过滤应用记录    [R1]display traffic-filter statistics interface G0/0/0 inbound     查询接口上in方向流量信息===========================================       Telnet管理        aaa认证：AAA-----身份验证(Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。    R3    G0/0/1 192.168.20.2    不允许1.1 ping    基本ACL:匹配感兴趣的流量，在匹配流量时，只能匹配源IP地址                  配置在：建议在距离目标地址最近的地方    高级ACL：在匹配流量时，可以匹配源地址，目标地址，传输层协议和端口号                  配置在：建议在距离目标地址最近的地方（流量转发路径上的设备上的端口上in/out）