CCNA WAN ACL&NAT

ACL要么应用于入站数据流要么应用于出站数据流。

ACL编号范围:

1 ~ 99 和1300 ~ 1999: 标准IP ACL

100 ~ 199和2000 ~ 2699: 扩展IP ACL

600 ~ 699: AppleTalk

800 ~ 899: IPX

标准ACL:

只指定源地址,不指定目标地址

扩展ACL:

查看源IP地址,也查看目标IP地址、协议和端口号。

配置标准ACL

access-list 2 deny 192.168.0.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0. 0.0.255.255

删除

no access-list 2

注释

access-list 10 remark Permit hosts from the 192.168.10.0 LAN

应用于接口:

ip access-group 2 [in | out]

用于限制VTY

access-class 2 [in | out]

创建标准命名ACL

ip access-list [standard | extended] NAME

查看ACL

show access-lists {access-list number | name}

扩展ACL

管理员在扩展ACL语句末尾使用编号或关键字指定TCP/UDP端口号。可使用逻辑运算符,如等于(eq)、不等于(neq)、大于(gt)和小于(lt)。这里的端口号可以是数字也可以是字符

扩展ACL格式

access-list access-list-number {deny | permit | remark} protocol source source-wildcard [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]

protocol 主要指icmp,ip,tcp,udp

operand 主要指eq, neq, gt,lt

established 只支持已建立连接通过的数据流通过

复杂ACL

动态ACL(锁和钥匙):仅当用户使用Telnet连接路由器并通过验证后,其数据流才能穿过路由器

自反ACL:允许数据流离开,但只允许响应路由器内部发起的会话的数据流进入

基于事件的ACL:支持根据一周或一天中的时间来控制访问。

动态ACL的优点:

  • 使用挑战机制验证用户身份。
  • 简化了大型互联网络的管理。
  • 在很多情况下,可降低路由器与ACL相关的处理工作量。
  • 降低了黑客闯入网络的机会。
  • 动态地让用户穿越防火墙,而不影响配置的其他限制

配置方法:
1.创建身份验证的用户名和密码

>username Student password 0 cisco

2. 允许将用户连到路由器的telnet连接。

>access-list 101 permit any host 10.2.2.2 eq telnet

>access-list 101 dynamic router-telnet timout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

3. 将ACL101应用于S0/0/1

>interface S 0/0/1

>ip access-group 101 in

4. 在Telnet之后验证之后,autocommand将执行,而Telnet会话将终止,5分钟无活动,窗口将关闭。

> line vty 0 4

>login local

>autocommand access-enable host timeout 5

自反ACL

目的:允许出站数据流,但只允许相应路由器内部发起的会话的入站数据流。这样能够更严格地控制哪些数据流可以进入网络,并增强了扩展访问列表的功能。

优点:

  • 有助于保护网络免遭网络黑客的攻击,可内嵌在防火墙中;
  • 可在一定程度上防范欺骗攻击和有些DoS攻击,自反ACL更难欺骗,因为必须满足更多的过滤条件分组才能允许通过。
  • 与基本ACL相比,自反ACL使用起来更简单,且更好地控制哪些分组可以进入网络。

配置:

1. 对路由器进行配置使其跟踪内部发起的数据流

>ip access-list extended OUTBOUNDFILTERS

>permit tcp 192.168.0.0 0.0.255.255.any reflect TCPTRAFFIC

2. 创建一种入站策略,要求路由器检查到来的数据流是否是内部发起的,并将ACL OUTBOUNDFILTERS的自反ACL部分同ACL INBOUNDFILTERS关联起来。

>ip access-list extended INBOUNDFILTERS

>evalute TCPTRAFFIC

3. 将入站和出站ACL都应用于接口:

>interface S 0/1/0

>ip access-group INBOUNDFILTERS in

>ip access-group OUTBOUNDFILTERS out

基于时间的ACL

优点:

让管理员能够更好地控制对资源的访问

让管理员能够控制日志消息。ACL条目在特定时段将数据流写入日志,而不是始终这样做。

配置:

>time-range EVERYOTHERDAY

>periodic Monday Wednesday Friday 8:00 to 17:00

>access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY

>interface S0/0/0

>ip access-group 101 out

动态NAT:

使用共有地址池,并以先到先得的原则分配这些地址。当使用私有IP地址的主机请求访问Internet时,动态NAT从地址池中选择一个未被其他主机使用的地址。

静态NAT:

使用本地地址与全局地址一对一映射,这些映射保持不变。

NAT重载:

将多个私有IP地址映射到一个或几个公有IP地址,客户端打开TCP/IP会话时,NAT路由器将为源地址分配一个端口号。

NAT的优点:

  • 让内部网络可使用私有地址以节省注册的公有编址。
  • 提高了连接到公有网络的灵活性。
  • 提供了一致的内部网络编址方案。
  • 提供了网络安全性。

静态NAT配置:

>ip nat inside source static 192.168.10.254 209.165.200.254

>interface serial0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

动态NAT配置:

>ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 pool NAT-POOL1

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

重载NAT配置:

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 interface serial 0/1/0 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

带有公有IP地址池

>ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0.0.0.255.255

>ip nat inside source list 1 pool NAT-POOL2 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

查看方法

>show ip nat translations [verbose]

提前清除

>clear ip nat translation *

CCNA WAN ACL&NAT

时间: 2024-11-23 20:37:48

CCNA WAN ACL&NAT的相关文章

CCNA WAN 帧中继

帧中继是一种高性能WAN协议,运行在OSI参考模型的物理层和数据链路层. 帧中继虚电路分为两类: 交换虚电路(SVC)和永久虚电路(PVC) SVC进行通信会话有4中运行状态:呼叫建立.数据传输.空闲和呼叫终止. PVC总是处于两种状态之一:数据传输和空闲 虚电路提供了从一台设备到另一台设备的双向通信路径,并用DLCI标识,DLCI只在本地有意义. 运营商通常分配DLCI 16 ~ 1007 帧中继地址映射 1. 反向ARP 反向地址解析协议(ARP)将第二层地址(如帧中继网络的DLCI)解析为

CCNA WAN IPv6

IPv6相对于IPv4的改进: 1. 改进的IP地址. 2. 简化的报头. 3. 移动性和安全性. 4. 丰富的过度方法. 改进的IP报头 改进了全局性和灵活性 更好的聚合路由选择表中的路由前缀 没有广播 多宿主主机 自动配置,可在地址中包含数据链路层地址. 即插即用选项 公有到私有端到端重新分配地址. 重新简化编制和地址修改机制 简化的报头 路由选择效率更高,提高了性能和装发的可扩展性. 无需处理校验和 扩展报头机制更简单.效率更高. 提供了流标签,无需查看传输层数据就可以识别不同的流. 增强

Quidway AR 28-12 做自反ACL+NAT

要求:公司新成立一部门,设置开发部和业务部,需实现新部门人员上网的控制,新部门人员可以访问现有网络里的主机,反之不行:开发部可以访问业务部,业务部不能访问开发部. 环境: 1台路由器,三个以太口,一个做出口,上联其它路由器:另两个分别下联两个网段. <DZSW>dis cur # sysname DZSW # cpu-usage cycle 1min # firewall enable # nat address-group 5 192.168.142.228 192.168.142.228

VLAN+VTP+STP+HSRP+ACL+NAT+OSPF综合

如图所示,使用GN3搭建网络环境,交换机间均为Trunk链路. 2.配置要求: 2.1 在SW1.SW2.SW3上添加VLAN 10.VLAN 20,IP地址段分别为192.168.10.0/24和192.168.20.0. 2.2 配置SW1为VLAN 10的根网桥,SW2为VLAN 20的根网桥,实现链路的负载分担. 2.3 在SW1.SW2.R1和R2上配置OSPF路由协议,实现网络互通,Router-id使用管理IP和Loopback地址.配置Area 1为完全末梢区域,Area 2为N

2.6-NAT

网络地址转换协议NAT(Network Address Translation): 交换和远程都要用,先上什么就放在哪一块讲,具体来说NAT还是属于远程的. NAT的三组概念: ---------------------------------------------------------------------------- LAB1:NAT的基本配置(原理性的NAT): STEP1:按图构建拓朴: R2/R4配置为PC模拟用户,R5的环回路口模拟公网:宣告RIP网络时不宣告192.168.

CCNA理论知识漏洞

网络基础   3. 集线器工作在 OSI 7 层网络模型的哪一层?   D A.传输层 B.网络层 C.数据链路层  D.物理层    4. 下列选项中,关于协议和默认端口号错误的是  D  POP 是 110 SMTP 是 25A.HTTP 默认使用 80 端口 B.Telnet 默认使用 23 端口 C.FTP 默认使用 20.21 端口  D.SMTP 默认使用 110 端口    IP子网   3.    IPv6 地址的类型有几种?分别是什么?(5 分) 全局单播地址 2000::/3

在防火墙(ASA)上配置四种类型的NAT

前面已经介绍了网络地址转换(NAT)的原理和基于路由器的配置,ASA上的NAT配置相对于路由器来说要复制一些,ASA上的NAT有动态NAT.动态PAT.静态NAT.静态PAT.下面的链接是我以前写的NAT原理,在路由器上配置NAT的命令http://yangshufan.blog.51cto.com/13004230/1959448 动态NAT 动态NAT将一组IP地址转换为指定地址池中的IP地址,是动态一对一的轮询的关系:适合拥有多个公网IP.多个内网PC要访问互联网的环境使用(单向) 配置命

pfsense 多WAN设置

多WAN 连接 章节目录: 多WAN术语和概念 策略路由,负载均衡和故障转移策略 多WAN注意事项 多WAN要求概述 负载平衡和故障切换网关组 接口和DNS配置 多WAN和NAT 策略路由配置 验证功能 故障排查 一站式多WAN IPv6的多WAN 多链路的PPPoE(MLPPP) pfSense的多WAN(多WAN)功能允许防火墙利用多个Internet连接来实现更可靠的连接和更大的吞吐能力. 在进行多WAN配置之前,防火墙必须至少正确配置两个接口(LAN和WAN). pfSense能够处理多

【学技术是慢餐】网络运维知识框架

技术是要沉淀和积累的,不是一步登天.对于网络运维的知识框架,结合了自己实践总结了一下,供大家参考,欢迎大家给补充&修改意见. 网络基础 网络基本架构(OSI七层模型,TCP_IP协议栈...) IPv4地址 网络设备的基本操作(开机,重启,备份,升级,基本配置...) 基础交换技术(交换原理,Trunk,VTP,VLAN,三层交换通信, Etherchannel,STP...) 基础路由技术(路由技术分类,静态路由,RIP(了解),OSPF...) ACL&NAT WAN广域网 进阶 高级