计算机网络 ACL和ANT

目录

一、ACL概况

二、ACL工作过程

三、ACL实验

四、ANT概况

五、ANT工作过程

六、ANT实验

一、ACL概况

　　概念：主要是对报文进行区分，路由器会对报文进行检查，查看是否符合通过标准或者不通过标准，才判断允许通过和不允许通过

　　原理：当数据包经过接口时，路由器检查报文，做出相应的处理

　　应用：1.教育网，设置禁止访问指定网页

　　　　　2.防火墙，监护数据安全

　　　　　3.匹配ip，进行流量监控

　　

　　acl配置格式例子：rule 5（默认5，留有空间可以再添加其他） deny　source 10.0.1.1 0

　　默认5：因为一个接口一个方向只能有一个acl，acl可以有多个rule，而且acl根据id从小到大，从上到下，所以

　　　　　　一旦设置过就不可以改变，要删除重新配置，比如设置成rule 1 deny source 10.0.0.1 0 ，如果要设置其他的，id已经为1不可以在添加

　　　　　　所以默认一般为5.

　　

　　分类：1.基本acl：编号范围（2000-2999），比较粗糙，设在outbound地方（出口）尽量靠近目的地，可以避免影响其他接口正常使用

　　　　　2.高级acl：编号范围（3000-3999），比较精细，可以设置再inbound，也可以设再outbound，尽量设置在inbound，尽量靠近源地方，可以减少资源浪费

　　

二、ACL工作过程

　　原则：一旦命中停止匹配

　　1.数据包发送

　　2.查看是否有acl

　　3.有acl在看有没有rule，如果没有直接放行

　　4.有rule，查看是否符合rule，根据rule来执行，permit允许，deny拒绝

　　5.执行完，再查看有没有其他rule，如果有继续分析，没有直接放行

三、通配符掩码　　

　　掩码总结：1.子网掩码：主要用来判断ip地址是否再同一网段，是否可以通信，

　　　　　　　　例如192.168.1.1和192.168.1.2，两个地址都是255.255.255.0，所以在同一网段

　　　　　　　　必须是连续的1

　　　　　　　2.反掩码：和子网掩码反过来，必须是连续的0

　　　　　　　3.通配符掩码：0和1可以不连续，对应ip地址1表示可变，0表示不可变

　　　　　　　　例子：rule 5 premit source 192.168.1.1 通配符 0 表示只能匹配一个IP　　

　　　　　　　　　　　　　　　　　　　　　192.168.1.0 如果要匹配1.0网段

　　　　　　　　　　　　　　　　　　　　　     0.0    .0 .1111 1111（后八位都可以变因为一个网段都可以匹配）

　　　　　　　　　　　　　　　　　　　　　　　所以通配符是0.0.0.255

四、ACL实验

　　实验1（基本acl）：

　　实验目的：pc1无法访问server1，pc2正常访问

　　

先给R1配置基本网关ip，因为是直连路由，所以可以通信

接下来添加基本acl

R1配置如下：

#

acl 2000//启用基本acl

rule 5 deny source 192.168.1.1 0//配置rule规则，拒绝192.168.1.1的访问

int g0/0/1//进入接口g1

traffic-filter outbound acl 2000 //调用acl

用c3pingsever3IP地址：192.168.2.1：

无法ping通，说明acl成功，在pingserver4192.168.3.1

可以ping通，说明不影响和服务器4的通信

实验二（高级acl）：

　　实验目的：c3可以访问服务器3，但是无法访问网页

　　

启用serverhttp服务

　　

R2配置如下:

#

acl 3000//高级cal

rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www

//规则5 拒绝 tcp 访问 源 192.168.1.1 一个地址 目的地 192.168.2.1 一个地址 目的接口 80端口 等于（网页http）

就是不让192.168.1.1访问192.168.2.1网页服务

用c3获取服务器3的网页服务，无法获取

但是用同样方法获取服务器4的网页服务

发现是可以获取的，因为并没有会192.168.1.1访问192.168.3.1进行acl高级限制，所以可以获取

五、ANT概况

　　概念：因为私网地址无法转发，所以私网地址和公网地址无法互相访问，为解决这一问题，可以使用ant来解决

　　原理：当私网地址去访问公网地址，nat可以将私网地址转换为公网地址

　　

　　分类：1.静态ant，手动将一个IP地址对应一个公网地址，缺点很大

　　　　　2.动态ant，私网地址转换公网地址随机转换

　　　　　3.easy-ip，将一批公网地址设置成一起，一个IP地址进行转换就占用其中一个公网地址，直到占完为止，不够的话需要等待

　　　　　4.natpt端口映射，将端口和端口直接映射，进行私网和公网的转换，和静态nat差不多

六、ANT工作过程

　　

1.当pc1想访问200.0.1.1，经过R1，将其转换为公网地址，访问200.0.1.1

2.当200.0.1.1收到访问时，回复时，公网地址到R1，R1将其转换为私有地址，返回pc1

（为什么知道是pc1，因为pc1发送报文时里面有序列号，可以找到）

七、ANT实验

　　实验1.静态ant

　　实验目的：pc1可以访问200.0.1.1

R1配置基本网关ip，用pc1ping200.0.1.1，

无法通信，因为私网无法访问公网

R1配置：

#

interesting g0/0/1 //进入g0接口

nat static enable //打开nat静态接口

nat static global 200.1.1.100 inside 192.168.1.1 //配置静态nat 200.1.1.100（内网192.168.1.1可以转换为200.1.1.100）

dis nat static //查看nat static

用pc1ping200.1.1.2，可以访问，说明已经可以访问

实验2：端口映射nat

　　实验目的：让pc3可以访问服务器器

R1配置如下

#

基本网关ip地址配置（略）

int g0/0/0//进入g0接口

nat server protocol tcp global current-interface www inside 192.168.1.100 www //配置nat服务tcp协议 全局当前的接口 80 端口（http）内部网络192.168.1.100 访问80端口

nat static enable //打开nat静态

pc3ping192.168.1.100，可以访问，用tracert 192.168.1.100查看具体路径，可以看到公网转换成私网

实验3：eas-ipfNAT

实验目的，pc3访问服务器

R1配置如下：

#

acl 2000//配置acl

rule permit source 192.168.1.0 0.0.0.255//定义规则一个网段1.0

interesting g0/0/1 //进入接口g1

nat outbound 2000 //使用nat2000

display nat session all//查看所有会话

pc3ping服务器ip：

可以ping通