ACL的配置

ACL 访问控制列表

一、Cisco：
作用：
1.访问控制—在路由器流量的进或出接口上，匹配流量；之后对流量进行动作，拒绝或允许；
2.定义感兴趣流量—为其他的策略抓取流量；

匹配规则：
至上而下逐一匹配，上条匹配按上条执行，不再查看下条，末尾隐含拒绝所有；

标准ACL：仅关注数据包中的源IP地址，调用时尽量靠近目标，避免对其他流量误删除；
扩展ACL：关注数据包中的源、目标IP地址，协议号、目标端口号；因为精确的数据匹配，故调用尽量靠近源；

写法：两种
1.编号写法 删除一条，整表消失
2.命名写法 任意删除条目、插入条目

基于时间的ACL：
CORE(config)#time-range ww 创建名为ww的时间列表
建议先定义该列表生存总时间
CORE(config-time-range)#absolute start 9:00 1 aug 2019 end 9:00 1 aug 2020
定制具体执行时间
CORE(config-time-range)#periodic daily 9:30 to 12:00
CORE(config-time-range)#periodic daily 13:30 to 16:00

CORE(config)#ip access-list extended openlab
CORE(config-ext-nacl)#permit ip host 172.16.10.253 any
CORE(config-ext-nacl)#permit ip host 172.16.20.253 any
CORE(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range ww
CORE(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range ww
CORE(config-ext-nacl)#permit ip any any

二、华为
匹配规则：
至上而下逐一匹配，上条匹配按上条执行，不再查看下表，末尾隐含允许所有；
二、华为匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条，末尾隐含允许所有；
r1]acl ?
INTEGER<2000-2999> 标准acl 仅关注源ip，靠近目标调用
INTEGER<3000-3999> 扩展 acl 关注源、目标ip，源、目标端口，协议号
INTEGER<4000-4999> 基于MAC地址的acl

r2]acl 2000
r2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
接口调用
r2]interface g0/0/0
r2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

r2]acl 3000
r2-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.1.2 0.0.0.0

拒绝Telnet
r2-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port eq 23

命名做法
r2]acl name qq 3001
r2-acl-adv-qq]
r2-acl-adv-qq]q
r2]acl name qq
r2-acl-adv-qq]

r2]display acl 3000 查看ACL

基于时间的ACL
[r2]time-range qq 9:00 to 12:00 daily
[r2]time-range qq 13:30 to 16:00 daily
[r2]acl 3002
[r2-acl-adv-3002]rule permit ip source 172.16.10.253 0 destination any
[r2-acl-adv-3002]rule permit ip source 172.16.20.253 0 destination any
[r2-acl-adv-3002]rule deny ip source 172.16.10.0 0.0.0.255 destination any time-range qq [r2-acl-adv-3002]rule deny ip source 172.16.20.0 0.0.0.255 destination any time-range qq

三、NAT –所有nat均在边界路由器上配置
私有IPV4地址： 10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
内部本地 内部全局 外部本地 外部全局
本地为私有 全局地址为公有
【1】cisco
静态和动态两种：
一对一（静态）
一对多（动态）
多对多（静态或动态）
端口映射（静态）

一对多：将多个本地地址和一个全局地址进行转换；PAT –端口地址转换 所有本地地址转换为同一个全局地址，但使用不同的源端口号来进行区分，映射关系为单次映射；适用于家庭和小型局域网；
r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
r2(config)#access-list 1 permit 192.168.3.0 0.0.0.255
r2(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload
本地地址 全局地址
切记：边界路由器上无论进行何种nat配置，均需要定义边界路由器上各个接口的方向r2(config)#interface fastEthernet 0/0
r2(config-if)#ip nat inside
r2(config-if)#exit
r2(config)#interface fastEthernet 1/0
r2(config-if)#ip nat inside
r2(config-if)#int f0/1
r2(config-if)#ip nat outside

一对一（静态）：固定将一个私有和一个公有地址进行转换
r2(config)#ip nat inside source static 192.168.3.250 12.1.1.3
r2(config)#ip nat inside source static 192.168.3.251 12.1.1.4

端口映射：将一个公有ip地址的固定端口和一个私有ip地址的固定端口形成映射
r2(config)#ip nat inside source static tcp 192.168.3.250 80 12.1.1.1 80
r2(config)#ip nat inside source static tcp 192.168.3.250 443 12.1.1.1 443
r2(config)#ip nat inside source static tcp 192.168.3.251 80 12.1.1.1 8888

多对多存在静态和动态两种设定：
静态设定：假设全局公有地址存在10个，那么从内网最先出现的10个私有地址与这10个公有地址建立一对一映射；让这10个私有地址不再收发流量后，一定时间后刷新纪录，再重新映射最先出来的设备；
动态多对多：假设全局公有地址存在10个，然后最先出来的65535个数据包占用第一个公有的地址的所有端口，第二批65535个包占用第二个公有ip地址，循环往复；r2(config)#access-list 2 permit 172.16.0.0 0.0.255.255
r2(config)#ip nat pool a 12.1.1.1 12.1.1.10 netmask 255.255.255.0

r2(config)#ip nat inside source list 2 pool a ?
overload Overload an address translation 携带该单词为动态，不携带为静态

【2】华为—不需要在边界路由器上各个接口定义方向的，但nat还是在边界路由器上配置静态nat – 和cisco中的一对一一致
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
公有 私有
[RTA]display nat static

动态nat – 和cisco的多对多相同
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
私有 公有
切记：携带no-pat为静态多对多；不携带为动态多对多；
[RTA]display nat address-group 1

easy nat和cisco中的一对多相同：PAT 端口地址转换
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 该接口为公有ip地址所在接口；
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound

nat服务器：和cisco的端口映射相同
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080