ACL:访问控制列表
ACL工作原理:
1 当ACL中有多个条目的时候。
匹配顺序按照目前的编码进行从小到大比较
如果无法匹配则进行下一个编码表示的进行匹配
如果有一个条目匹配住,就不会继续查看下面的条目了
2 在匹配任何一个条目的过程:
1 首先观察的是该条目关心的是数据中的
soutce或者 destination【源IP和目标IP】
2 其次在来关心条目中的 -通配符-
0 所对应 数据包中的 bit

dis traffic-filter applied-record
【查看本地ACL的调用情况 如:在端口,方向,】
dis traffic-filter statistics interface g 0/0/1 outbound
【查看特定端口的特定方向ACL流量的统计端口进入/出口状态】
display acl all
【查看所有的ACL】
display acl 3333
【查看特定的ACL 3333】
[R2-acl-adv-3333]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-【在ACL中设置拒绝R1远程R2】
[R1-gi0/0/2] traffic-filter inbound acl 2000
【在进入接口设置调用acl】
port eq 23
eq:等于
gt: 大于
it:小于
range:比如:1到10之间

ACL。表示所有:
[R2-acl-adv-3333]rule 10 permit ip
【允许所有】
[R2-acl-adv-3333]rule 10 deny ip
【拒接所有】
只要不写source 和destination 关键字就可以

注意:
基本的ACL,建议调用在距离目标IP地址 近的地方
【为了不影响路过目标IP地址的网段】
高级的ACL,建议条用在源IP地址 近 的地方
【提前拦截去往目标地址的数据,避免数据的浪费】

命名的ACL
[R2]acl name zhangsan {basic | advance }
【创建命名ACL 基本/高级选项】
[R2-acl-basic-zhangsan] rule 10 permit
【允许zhangsan所有】
命名ACL的好处:
通过配置命名的ACL,可以让我们更加容易区分和管理 ACL
但是为了便于 ACL 的配置与修改,
系统会给命名的ACL分配一个 id ;
以后在配置、修改、调用 ACL 的过程中,
通过该 id 和 通过名字,都是相同的。

常用的应用以及其端口号:
FTP: tcp 21
FTP-Data : tcp 20
telnet : tcp 23
web : tcp 80
smtp : tcp 25
pop3 : 110
dns : tcp 53
dhcp : udp 67/68
rip : udp 520
bgp : tcp 179
mstsc : tcp 3389

 NAT-network address translation

【网络地址转换】
------由私有地址转换成共有地址-
内网访问外网:
1 静态NAT:
私有--访问共有 1:1
不节省IP地址
[R1] nat static global 100.1.12.3 inside 192.168.1.1
【将外网映射成内网】
[R1-gi0/0/1] nat static enable
【在出端口开启静态NAT】
2 动态NAT
私有--访问共有 1:1
不节省IP地址
(创建组,组中是外网地址)
《内网访问组时,就会对应组中的外网地址》
【将出口的接口配置成访问外网的地址】
3 PAT/PNAT/NAT-Port/端口复用/端口NAT/port NAT
【这些都一个意思】
[R!!-GigabitEthernet0/0/1]nat outbound 2222
【将内网转换外网,运用ACL规则进行设置】

注意:
在NAT中调用的ACL与在接口调用的ACL,稍有不同
1 NAT中调用的最后一个隐含的默认动作是--拒绝所有
2 接口上调用的ACL最后一个隐含的默认动作是--允许所有

外网访问内网:
[R!!-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 (外网)8080 inside 192.168.1.10(内网) 80
【将外网映射成内网(加端口号安全性高点)】