扩展ACL

问题列表：

TO DO LITS

工作高效的17个工具

流量控制工具 - ACL
-作用
-对象
2层流量(DMAC+SMAC+Vlan+Type+ ..... +FCS-frame-checksum)
3层流量(DIP+SIP)
-动作
permit 
deny 
-实现
ACL

IP-ACL（3层ACL，针对的是3层流量）

标准ACL：
只能匹配IP数据包的 源IP地址

扩展ACL：
能够同时匹配IP数据包的(源IP 目标IP) 传输层协议

扩展ACL匹配流量，更加精确：

     确定流量的唯一5元组：
         源IP、目标IP、源端口、目标端口、传输层协议

     对数据而言，凡是能够通过“传输层协议+端口号”的方式
     进行表示的，则表示该数据是属于“应用层”。

     路由器查找路由表时，有一个最长匹配原则，
        匹配的越长，表示地址越精确。

实验名称：扩展ACL的原理与应用
实验拓扑：
实验需求：
R1可以ping通R4；
R1的 loopback 0 无法 telnet R4 ；
实验步骤：
1、确保网络互通
#基于拓扑图，配置设备端口地址；
#配置静态路由，确保网段互通；
&一个一个的写；
&默认路由： 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有网络。

2、配置ACL策略              
           想要抓取一个流量
           必须了解一个流量

            配置命令：(R2)
               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
                     20  deny   tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
                     30  permit ip any any

! 
或者

               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
                     20  deny   tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
                     30  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

3、调用ACL策略
          R2:
             interface fas0/1
                ip access-group Deny-telnet in 
4、验证ACL策略
           R2: 
              show ip access-list 
              show ip interface fas0/1 
           R1:
              telnet 10.10.4.4 /source-interface loopback 0 -> no 
              telnet 192.168.34.4 /source-interface loopback 0 -> no
              其他所有地址之间的所有类型流量，都是通的。                   

注意： 
ACL不会对本地设备发起的流量起作用，仅仅对穿越流量起作用；

=========================================================

ISP(internet service provider)

EMS

==========================================================
NAT
network address translation : 网络地址转换
-作用：
-实现：
1、区分NAT网络边界
nat inside / outside

        GW:
           interface fas0/0 
               ip nat inside 
           interface fas0/1 
               ip nat outside 

  2、配置转换条目
        ip nat inside source static  192.168.10.1  34.1.1.3

  3、验证与测试
         GW:
         show ip nat translation  -> 查看NAT的转换表
         debug ip nat  --> 查看网关对数据包的NAT处理过程
         undebug all --> 同时关闭所有的 debug 调试命令；
         PC1/2:
            ping 100.1.1.4

实验名称： NAT 的原理与应用
实验拓扑： 
实验需求： 
1、在GW(R3)配置NAT，实现 PC1/2 对模拟服务器 - 100.1.1.4/24
的访问； 
2、基于图中所示，配置IP地址；
配置思路： 
1、配置R1/R2模拟成PC；
关闭路由功能 - no ip routing 
配置网关IP地址 - ip default-gateway 192.168.10.254
2、配置网关设备的IP地址以及路由
3、配置NAT的相关命令：
#配置NAT网络边界
#配置NAT转换条目命令
4、验证与测试
GW:
show ip route 
show ip nat translation 
debug ip nat 
undebug all
PC-1/2: 
ping x.x.x.x

本文转自 Mr_Lee_1986 51CTO博客，原文链接：http://blog.51cto.com/13504837/2057491，如需转载请自行联系原作者