重慶分公司
重慶分公司
內(nèi)容回顧:
網(wǎng)絡(luò)
IP
規(guī)模越來越大
浪費越來越嚴重
IP地址空間有限
-公有地址|私有地址 (NAT)
-子網(wǎng)劃分
-IPv6
內(nèi)網(wǎng):私有地址
-通信
私有地址沒有資格在 Internet 流通;
出去,但是回不來
讓企業(yè)的數(shù)據(jù)包在出去的時候,
攜帶的并不是內(nèi)部的私有地址,
而是自己花錢買的公網(wǎng)IP地址;
數(shù)據(jù)在傳輸過程中,IP地址是永遠不會變化的(默認情況下)。
數(shù)據(jù)在傳輸過程中,MAC地址是隨時變化的,每經(jīng)過一個網(wǎng)段,都會
變化一次。
NAT:
將內(nèi)網(wǎng)的數(shù)據(jù)包中的源IP地址,轉(zhuǎn)換為購買的公網(wǎng)IP地址;
NAT工作的時候,是依靠一個核心工作表:
NAT轉(zhuǎn)換表;
私有地址1 ----- 公有地址1
--------
NAT:network address translation
靜態(tài)NAT:
在邊界設(shè)備上,手動的創(chuàng)建 NAT 轉(zhuǎn)換條目;
私有:公有 ===== 1:1
動態(tài)NAT:
在邊界設(shè)備上,設(shè)備基于數(shù)據(jù)包觸發(fā)而形成的 NAT 轉(zhuǎn)換條目,
不需要人工干預(yù)。如果一個NAT轉(zhuǎn)換條目在一段時間之內(nèi)不使用,
在會自動的在 NAT 轉(zhuǎn)換表中自動刪除;
-基本動態(tài)NAT
私有:公有 ===== 1:1
-P-NAT(端口復(fù)用)
私有:公有 ===== N:1
問題:
內(nèi)網(wǎng)主動ping外網(wǎng),是可以通的;
反之,則不通。
原因:
in 路由表
NAT表 out
NAT高級應(yīng)用:
端口映射
ip nat inside source static tcp 192.168.1.1 23 100.1.1.1 10011 ACL:access control list ,訪問 控制 列表
-作用:
匹配感興趣的流量。
-實現(xiàn):
#規(guī)則
#動作(允許/拒絕)
#事件
-表示:
# ID
# name
-類型:
#標準ACL/基本ACL
ID
name
#擴展ACL/高級ACL
ID
name ACL的配置思路:
0、確保原有數(shù)據(jù)的連通性(基于現(xiàn)網(wǎng)需要來確定);
在沒有實施ACL之前,PC-1 與 PC-2 之間是互通的;
1、查看設(shè)備上已經(jīng)存在的ACL
[R1] display acl [2000] | all
2、創(chuàng)建ACL
[R1] acl 2000 [match-order {config} | {auto} ]
[R1-acl-basic-2000] rule [id] deny source 192.168.10.1 0.0.0.0
3、調(diào)用ACL
[R1]interface gi0/0/0
[R1-gi0/0/0]tranffic-filter inbound acl 2000
4、驗證、測試、保存
display acl 2000 //查看ACL的配置條目信息;
display traffic-filter applied-record //查看ACL的調(diào)用信息;
display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
//查看特定端口上調(diào)用的ACL的使用信息;
ping x.x.x.x
save實驗拓撲圖:
PC-1 ---> PC-2
#研究清楚流量的轉(zhuǎn)發(fā)路徑(來回路徑)
&干掉去的流量
&干掉回的流量
#研究流量本身(特點+結(jié)構(gòu))
L2 + L3 + ICMP + FCS
ip-acl
L3
source-ip + destination-ip
基本ACL
-僅僅關(guān)注IP頭部中的 source-ip ;
高級ACL
-可以同時關(guān)注 source 和 destination ,
并且,還可以關(guān)注 IP 頭部后面的內(nèi)容,
比如 TCP/UDP====================================================================
刪除ACL:
1、正確的刪除姿勢
#首先解除 ACL 調(diào)用關(guān)系
Interface gi0/0/0
undo traffic-filter inbound
#其次刪除 ACL 條目本身
undo acl 2000
#最后刪除的最終結(jié)果
2、當(dāng)調(diào)用一個不存在的 ACL 時,表示的是允許所有;
注意:
1、同一個端口的,同一個方向,只能同時存在一個 ACL ;
2、如果想更改端口上調(diào)用的 ACL ,必須:
首先,刪除端口上的 ACL 調(diào)用命令;
再次,重新調(diào)用一個新的 ACL ;
3、端口上的 ACL ,不允許直接覆蓋;
4、華為中的ACL,沒有匹配住的流量,默認是允許的;
5、基本ACL/標準ACL,強烈建議調(diào)用在“距離目標設(shè)備”近的地方; 3層ACL
基本ACL
數(shù)字ACL
命名ACL
高級ACL
數(shù)字ACL
命名ACL
2層ACL 1、命名的ACL在創(chuàng)建的時候,需要指定類型;
2、在ACL中,如果不寫 source 或者不寫 destination ,則表示所有源或目標
3、在配置ACL的過程中,如果在輸入 source 或 destination 的時候,直接回車
則代表“所有”;
=================================================================
R2:PC1-PC2不通,其他全部互通;
1、創(chuàng)建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
destination 192.168.10.1 0.0.0.0
2、調(diào)用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、驗證、測試、保存
display acl 3000
display traffic-filter applied-record
PC2:
ping 192.168.10.1 ,no
ping 192.168.10.3 ,yes
PC4/5:
ping x.x.x.x , yes
save
R2:PC4/5與全網(wǎng)其他主機互通,其他流量全部不通;
1、創(chuàng)建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule 100 deny ip
2、調(diào)用ACL
[R2]interface gi0/0/0
[R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
3、驗證、測試、保存
===============================================================
小實驗配置需求:
1、PC-1與PC-2之間的任何類型的流量都無法互通;
2、PC-3可以 ping 192.168.30.88(server-2),但是無法 ping www.ntd1711.com ;
3、PC-4與PC-3之間的任何類型的流量都無法互通;
4、Client-1 可以 ping www.ntd1711.com,但是無法通過自帶的瀏覽器打開
Server-2中的 web 功能(即,www.ntd1711.com)
秘訣:
想要控制流量,必須先認識流量的封裝方式、使用的協(xié)議;
想要控制流量,必須先認識流量的轉(zhuǎn)發(fā)路徑和方向;
acl access console list 訪問控制列表
基本acl 2000-2999
高級acl 3000-3999
acl 3000
rule,從5開始,每一條隔5,從小往大執(zhí)行
in/out
接口
進入接口,traffic-filter in/out acl 3000
創(chuàng)建acl
acl number 3369
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0
interface GigabitEthernet0/0/0
調(diào)用acl
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3369
一堆查詢
[R1]display acl all 查詢acl列表
[R1]display traffic-filter applied-record 查詢流量過濾應(yīng)用記錄
[R1]display traffic-filter statistics interface G0/0/0 inbound
查詢接口上in方向流量信息
===========================================
Telnet管理
aaa認證:
AAA-----身份驗證(Authentication)、授權(quán) (Authorization)和統(tǒng)計 (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。
R3
G0/0/1 192.168.20.2
不允許1.1 ping
基本ACL:匹配感興趣的流量,在匹配流量時,只能匹配源IP地址
配置在:建議在距離目標地址最近的地方
高級ACL:在匹配流量時,可以匹配源地址,目標地址,傳輸層協(xié)議和端口號
配置在:建議在距離目標地址最近的地方(流量轉(zhuǎn)發(fā)路徑上的設(shè)備上的端口上in/out) 
