ACL要么应用于入站数据流要么应用于出站数据流。
ACL编号范围:
1 ~ 99 和1300 ~ 1999: 标准IP ACL
100 ~ 199和2000 ~ 2699: 扩展IP ACL
600 ~ 699: AppleTalk
800 ~ 899: IPX
标准ACL:
只指定源地址,不指定目标地址
扩展ACL:
查看源IP地址,也查看目标IP地址、协议和端口号。
配置标准ACL
access-list 2 deny 192.168.0.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0. 0.0.255.255
删除
no access-list 2
注释
access-list 10 remark Permit hosts from the 192.168.10.0 LAN
应用于接口:
ip access-group 2 [in | out]
用于限制VTY
access-class 2 [in | out]
创建标准命名ACL
ip access-list [standard | extended] NAME
查看ACL
show access-lists {access-list number | name}
扩展ACL
管理员在扩展ACL语句末尾使用编号或关键字指定TCP/UDP端口号。可使用逻辑运算符,如等于(eq)、不等于(neq)、大于(gt)和小于(lt)。这里的端口号可以是数字也可以是字符
扩展ACL格式
access-list access-list-number {deny | permit | remark} protocol source source-wildcard [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]
protocol 主要指icmp,ip,tcp,udp
operand 主要指eq, neq, gt,lt
established 只支持已建立连接通过的数据流通过
复杂ACL
动态ACL(锁和钥匙):仅当用户使用Telnet连接路由器并通过验证后,其数据流才能穿过路由器
自反ACL:允许数据流离开,但只允许响应路由器内部发起的会话的数据流进入
基于事件的ACL:支持根据一周或一天中的时间来控制访问。
动态ACL的优点:
- 使用挑战机制验证用户身份。
- 简化了大型互联网络的管理。
- 在很多情况下,可降低路由器与ACL相关的处理工作量。
- 降低了黑客闯入网络的机会。
- 动态地让用户穿越防火墙,而不影响配置的其他限制
配置方法:
1.创建身份验证的用户名和密码
>username Student password 0 cisco
2. 允许将用户连到路由器的telnet连接。
>access-list 101 permit any host 10.2.2.2 eq telnet
>access-list 101 dynamic router-telnet timout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
3. 将ACL101应用于S0/0/1
>interface S 0/0/1
>ip access-group 101 in
4. 在Telnet之后验证之后,autocommand将执行,而Telnet会话将终止,5分钟无活动,窗口将关闭。
> line vty 0 4
>login local
>autocommand access-enable host timeout 5
自反ACL
目的:允许出站数据流,但只允许相应路由器内部发起的会话的入站数据流。这样能够更严格地控制哪些数据流可以进入网络,并增强了扩展访问列表的功能。
优点:
- 有助于保护网络免遭网络黑客的攻击,可内嵌在防火墙中;
- 可在一定程度上防范欺骗攻击和有些DoS攻击,自反ACL更难欺骗,因为必须满足更多的过滤条件分组才能允许通过。
- 与基本ACL相比,自反ACL使用起来更简单,且更好地控制哪些分组可以进入网络。
配置:
1. 对路由器进行配置使其跟踪内部发起的数据流
>ip access-list extended OUTBOUNDFILTERS
>permit tcp 192.168.0.0 0.0.255.255.any reflect TCPTRAFFIC
2. 创建一种入站策略,要求路由器检查到来的数据流是否是内部发起的,并将ACL OUTBOUNDFILTERS的自反ACL部分同ACL INBOUNDFILTERS关联起来。
>ip access-list extended INBOUNDFILTERS
>evalute TCPTRAFFIC
3. 将入站和出站ACL都应用于接口:
>interface S 0/1/0
>ip access-group INBOUNDFILTERS in
>ip access-group OUTBOUNDFILTERS out
基于时间的ACL
优点:
让管理员能够更好地控制对资源的访问
让管理员能够控制日志消息。ACL条目在特定时段将数据流写入日志,而不是始终这样做。
配置:
>time-range EVERYOTHERDAY
>periodic Monday Wednesday Friday 8:00 to 17:00
>access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY
>interface S0/0/0
>ip access-group 101 out
动态NAT:
使用共有地址池,并以先到先得的原则分配这些地址。当使用私有IP地址的主机请求访问Internet时,动态NAT从地址池中选择一个未被其他主机使用的地址。
静态NAT:
使用本地地址与全局地址一对一映射,这些映射保持不变。
NAT重载:
将多个私有IP地址映射到一个或几个公有IP地址,客户端打开TCP/IP会话时,NAT路由器将为源地址分配一个端口号。
NAT的优点:
- 让内部网络可使用私有地址以节省注册的公有编址。
- 提高了连接到公有网络的灵活性。
- 提供了一致的内部网络编址方案。
- 提供了网络安全性。
静态NAT配置:
>ip nat inside source static 192.168.10.254 209.165.200.254
>interface serial0/0/0
>ip nat inside
>interface serial 0/1/0
>ip nat outside
动态NAT配置:
>ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
>access-list 1 permit 192.168.0.0 0.0.255.255
>ip nat inside source list 1 pool NAT-POOL1
>interface serial 0/0/0
>ip nat inside
>interface serial 0/1/0
>ip nat outside
重载NAT配置:
>access-list 1 permit 192.168.0.0 0.0.255.255
>ip nat inside source list 1 interface serial 0/1/0 overload
>interface serial 0/0/0
>ip nat inside
>interface serial 0/1/0
>ip nat outside
带有公有IP地址池
>ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
>access-list 1 permit 192.168.0.0.0.0.255.255
>ip nat inside source list 1 pool NAT-POOL2 overload
>interface serial 0/0/0
>ip nat inside
>interface serial 0/1/0
>ip nat outside
查看方法
>show ip nat translations [verbose]
提前清除
>clear ip nat translation *
CCNA WAN ACL&NAT