CCNA WAN ACL&NAT

ACL要么应用于入站数据流要么应用于出站数据流。

ACL编号范围：

1 ~ 99 和1300 ~ 1999： 标准IP ACL

100 ~ 199和2000 ~ 2699： 扩展IP ACL

600 ~ 699： AppleTalk

800 ~ 899： IPX

标准ACL：

只指定源地址，不指定目标地址

扩展ACL：

查看源IP地址，也查看目标IP地址、协议和端口号。

配置标准ACL

access-list 2 deny 192.168.0.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0. 0.0.255.255

删除

no access-list 2

注释

access-list 10 remark Permit hosts from the 192.168.10.0 LAN

应用于接口：

ip access-group 2 [in | out]

用于限制VTY

access-class 2 [in | out]

创建标准命名ACL

ip access-list [standard | extended] NAME

查看ACL

show access-lists {access-list number | name}

扩展ACL

管理员在扩展ACL语句末尾使用编号或关键字指定TCP/UDP端口号。可使用逻辑运算符，如等于(eq)、不等于(neq)、大于(gt)和小于(lt)。这里的端口号可以是数字也可以是字符

扩展ACL格式

access-list access-list-number {deny | permit | remark} protocol source source-wildcard [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]

protocol 主要指icmp,ip,tcp,udp

operand 主要指eq, neq, gt,lt

established 只支持已建立连接通过的数据流通过

复杂ACL

动态ACL（锁和钥匙）：仅当用户使用Telnet连接路由器并通过验证后，其数据流才能穿过路由器

自反ACL：允许数据流离开，但只允许响应路由器内部发起的会话的数据流进入

基于事件的ACL：支持根据一周或一天中的时间来控制访问。

动态ACL的优点：

• 使用挑战机制验证用户身份。
• 简化了大型互联网络的管理。
• 在很多情况下，可降低路由器与ACL相关的处理工作量。
• 降低了黑客闯入网络的机会。
• 动态地让用户穿越防火墙，而不影响配置的其他限制

配置方法：
1.创建身份验证的用户名和密码

>username Student password 0 cisco

2. 允许将用户连到路由器的telnet连接。

>access-list 101 permit any host 10.2.2.2 eq telnet

>access-list 101 dynamic router-telnet timout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

3. 将ACL101应用于S0/0/1

>interface S 0/0/1

>ip access-group 101 in

4. 在Telnet之后验证之后，autocommand将执行，而Telnet会话将终止，5分钟无活动，窗口将关闭。

> line vty 0 4

>login local

>autocommand access-enable host timeout 5

自反ACL

目的：允许出站数据流，但只允许相应路由器内部发起的会话的入站数据流。这样能够更严格地控制哪些数据流可以进入网络，并增强了扩展访问列表的功能。

优点：

• 有助于保护网络免遭网络黑客的攻击，可内嵌在防火墙中；
• 可在一定程度上防范欺骗攻击和有些DoS攻击，自反ACL更难欺骗，因为必须满足更多的过滤条件分组才能允许通过。
• 与基本ACL相比，自反ACL使用起来更简单，且更好地控制哪些分组可以进入网络。

配置：

1. 对路由器进行配置使其跟踪内部发起的数据流

>ip access-list extended OUTBOUNDFILTERS

>permit tcp 192.168.0.0 0.0.255.255.any reflect TCPTRAFFIC

2. 创建一种入站策略，要求路由器检查到来的数据流是否是内部发起的，并将ACL OUTBOUNDFILTERS的自反ACL部分同ACL INBOUNDFILTERS关联起来。

>ip access-list extended INBOUNDFILTERS

>evalute TCPTRAFFIC

3. 将入站和出站ACL都应用于接口：

>interface S 0/1/0

>ip access-group INBOUNDFILTERS in

>ip access-group OUTBOUNDFILTERS out

基于时间的ACL

优点：

让管理员能够更好地控制对资源的访问

让管理员能够控制日志消息。ACL条目在特定时段将数据流写入日志，而不是始终这样做。

配置：

>time-range EVERYOTHERDAY

>periodic Monday Wednesday Friday 8:00 to 17:00

>access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY

>interface S0/0/0

>ip access-group 101 out

动态NAT：

使用共有地址池，并以先到先得的原则分配这些地址。当使用私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其他主机使用的地址。

静态NAT：

使用本地地址与全局地址一对一映射，这些映射保持不变。

NAT重载：

将多个私有IP地址映射到一个或几个公有IP地址，客户端打开TCP/IP会话时，NAT路由器将为源地址分配一个端口号。

NAT的优点：

• 让内部网络可使用私有地址以节省注册的公有编址。
• 提高了连接到公有网络的灵活性。
• 提供了一致的内部网络编址方案。
• 提供了网络安全性。

静态NAT配置：

>ip nat inside source static 192.168.10.254 209.165.200.254

>interface serial0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

动态NAT配置：

>ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 pool NAT-POOL1

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

重载NAT配置：

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 interface serial 0/1/0 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

带有公有IP地址池

>ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0.0.0.255.255

>ip nat inside source list 1 pool NAT-POOL2 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside

查看方法

>show ip nat translations [verbose]

提前清除

>clear ip nat translation *

CCNA WAN ACL&NAT