第1章 ACL 访问控制列表

访问控制表(”位代表精确匹配,而“1“位代表不许匹配。

例如路由器EIGRP的配置中:

RouterA(config)#router eigrp 100

RouterA(config-router)#network 10.0.0.0 0.0.0.255

RouterA(config-router)#network 192.168.1.0 0.0.0.255

10.0.0.0 0.0.0.255说明只要接口的IP地址是以“10”开头就参与EIGRP进程。

同理的,192.168.1.0 0.0.0.255说明只要IP是以192.168.1开头的IP就符合。

1.6.4 通配符缩写

192.168.1.1 0.0.0.0 == host 192.168.1.1

精确匹配192.168.1.1这个ip

0.0.0.0 255.255.255.255 == any

匹配所有IP

1.7 【实例】标准ACL

禁止主机A 上外网

1.7.1 拓扑图

1.7.2 配置路由acl

R-acl-1(config)#access-list 1 deny 192.168.1.1 0.0.0.0

R-acl-1 (config)#access-list 1 permit any

应用到接口上

R-acl-1 (config)#interface fastEthernet 0/0

R-acl-1 (config-if)#ip access-group 1 in

1.7.3 检查ACL 表内容

R-acl-1#show access-lists 1

Standard IP access list 1

deny host 192.168.1.1 (6 match(es))

permit any

1.8 扩展访问控制列表的配置

同一个接口上针对一种协议只能用一个ACL

1.8.1 配置命令

access-list {100-199} {permit/deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard  [operator port] [established]  [log]

access-list {100-199}  permit/deny  协议号 源地址 通配符 目的地址 通配符

应用

ip access-group access-list-number {in|out }

在接口中应用

应用时关联入或出站方向

1.9 【实例】扩展ACL

禁止A网段中的192.168.1.1-192.168.1.30 访问B网段的服务器

1.9.1 拓扑图

1.9.2 路由器acl配置

R-ACL-2(config)#access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200

R-ACL-2(config)#access-list 100 permit ip any any

应用到接口

R-ACL-2(config)#interface fastEthernet 0/0

R-ACL-2(config-if)#ip access-group 100 in

1.9.3 检查acl信息

R-ACL-2#show  access-lists 100

Extended IP access list 100

deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200

permit ip any any

C:\>PING 192.168.2.200

Pinging 192.168.2.200 with 32 bytes of data:

Reply from 192.168.1.254: Destination host unreachable.

Reply from 192.168.1.254: Destination host unreachable.

1.9.4 禁止访问某一项服务

access-list 100 deny tcp any host 192.168.2.200 eq 23

access-list 100 permint any

标准于扩展ACL的配置内容

R-ACL-2(config)#access-list 1 permit ?

A.B.C.D  Address to match

any      Any source host

host     A single host address

R-ACL-2(config)#access-list 100 permit  ?

ahp    Authentication Header Protocol

eigrp  Cisco's EIGRP routing protocol

esp    Encapsulation Security Payload

gre    Cisco's GRE tunneling

icmp   Internet Control Message Protocol

ip     Any Internet Protocol

ospf   OSPF routing protocol

tcp    Transmission Control Protocol

udp    User Datagram Protocol

1.10 命名访问控制列表的配置

1.10.1 配置命令

格式

ip access-list  { extended|standard } name

配置

R-ACL-2(config)#ip access-list extended test

R-ACL-2(config-ext-nacl)#10 deny TCP 192.168.12.0 0.0.0.255 any eq 23

R-ACL-2(config-ext-nacl)#20 permit ip any any

查看

R-ACL-2#show ip access-lists test

Extended IP access list test

deny tcp 192.168.12.0 0.0.0.255 any eq telnet

permit ip any any

应用到接口

R-ACL-2(config)#interface fastEthernet 0/0

R-ACL-2(config-if)#ip access-group test in

1.11 注意

 每个接口,每个方向,每种协议,只能设置1个ACL

 组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部

 不可能从ACL中除去1行,除去一行意味着你将除去整个ACL。命名ACL除外

 默认acl结尾语句时deny any ,所以在ACL中至少有一句permint语句

 记得创建了ACL后应用到接口上

 ACL是用于过滤经过路由器的数据包,他并不会过滤路由器本身产生的数据包

 尽可能的把IP标准ACL放在距离目标近的地方;把扩展ACL放在离源地址近的地方

第2章 NAT动态地址转换

2.1 为什么需要NAT

IPv4地址紧缺

解决方案: DHCP、IPv6、NAT

2.1.1 私有地址空间

私有地址(Private address)属于非注册地址,专门为组织机构内部使用。

NAT将私有地址转化为共有IP

2.2 私有IP地址空间

10.0.0.0 ~ 10.255.255.255

172.16.0.0 ~ 172.31.255.255

192.168.0.0 ~ 192.168.255.255

2.3 NAT术语

名称

含义

内部本地

转换之前内部源地址的名字

外部本地

转换之前目标主机的名字

内部全局

转换之后内部主机的名字

外部全局

转换之后外部目标主机的名字

2.4 NAT三种类型

2.4.1 静态NAT

一对一映射

基本网络地址转换(,不然就无法确定每个。

3.2 IPv6地址类型

单播地址

–全球单播地址:典型的、可路由的通用地址

–链路本地地址:私有地址、不能被路由

–本地唯一地址:用于非路由目的,但是全球唯一

组播地址

任播地址

3.2.1 单播地址(unicast)

单播地址又叫单目地址,就是传统的点对点通信,单播表示一个单接口的标识符。IPv6单播地址的类型又分:全球单播地址、链路本地地址和站点本地地址。

 全球单播地址相当于IPv4的公网地址,这类地址由供应商提供,或由交换局提供,可聚集全球单点传送地址结构。

 链路本地单播地址是处于可聚集全球单播地址外的,只限于直连链路,是单网络链路上给的主机编号,作用是进行链路上主机的通信

 本地唯一地址用于对特定范围的通信也可说成是规定站点内的通信,不能与站点外地址通信,也不能直接连接到全球Internet。

3.2.2 组播地址(multicast)

又称为多点传送地址或者多播,即一组接口的标识符,只要存在合适的多点传输的路由拓扑就可将设有多播地址的包传输到这个地址识别的那组接口。

3.2.3 任播地址(anycast)

又称之为任意点传送地址,它也是一个标识符可以识别多重接口的情况,只要有合适的路由拓扑,即可以将设有任意传播地址的数据包传给位址识别的最近的单一接口。

最近的接口是指最短的路由距离。任意点传送地址空间可以认为是从单点传送地址空间中划分出来的,它可以是表示单点传送地址的任何形式。它与单点传送地址间结构上是没有差别的。目前,任意点传送地址仅分配给路由器。

子网-路由任意点传送地址是必须预先定义的,根据给定接口的子网前缀产生,要构建一个子网路由任意点地址必须固定子网前缀的位数,余下位数必须设定为0。

3.3 IPv6特殊的地址

IPv6地址

功能

0:0:0:0:0:0:0:0 等于::

等价于IPv4的0.0.0.0

0:0:0:0:0:0:0:1 等于::1

等价于IPv4的127.0.0.1

0:0:0:0:0:0:0:192.168.100.1

这是在IPv6/v4混合网络中IPv4地址表示

2000::/3

全球单播地址范围

FC00::/7

本地唯一单播地址范围

FE80::/10

链路本地单播地址范围

FF00::/8

组播地址范围

3FFF:FFFF::/32

为示例和文档保留的地址

2001:0DB8::/32

也是为示例和文档保留的地址

2002::/16

拥有IPv6到IPv4的转换系统,IPv6包直接通过IPv4网络传输

3.4 自动配置

某台设备的MAC地址:

0060.D673.1987

0260.D6FF.FE73.1987

u IPv6地址的接口ID是64位,MAC地址只有48位,因此需要再加上16位,及在中间填充FFFE

02 → 00000010

u 在填充过程中,第7位如果改成值为1,及为全球唯一的,这一位改成值为0,及为本的唯一的

u 这种类型的自动配置称为“无状态自动配置”

3.5 用IPv6配置Cisco路由器

在路由器上启用IPv6,默认时,IPv6流量转发被禁用

ipv6 unicast-routing

在接口上配置IPv6地址

ipv6 address 2001:db8:3c4d:1:0260.d6FF.FE73.1987/64

启用接口,通过DHCP获得IPv6地址

ipv6 enable

网络拓展知识 ACL NAT IPv6的更多相关文章

  1. 网络知识 ACL NAT IPv6

    第1章 ACL 访问控制列表 访问控制表(Access Control List,ACL),又称存取控制串列,是使用以访问控制矩阵为基础的访问控制方法,每一个对象对应一个串列主体. 访问控制表描述每一 ...

  2. 实例讲解虚拟机3种网络模式(桥接、nat、Host-only)

    转自:http://www.cnblogs.com/ggjucheng/archive/2012/08/19/2646007.html 前言 很多人安装虚拟机的时候,经常遇到不能上网的问题,而vmwa ...

  3. 03--实例讲解虚拟机3种网络模式(桥接、nat、Host-only)

    前言 很多人安装虚拟机的时候,经常遇到不能上网的问题,而vmware有三种网络模式,对初学者来说也比较眼花聊乱,今天我就来基于虚拟机3种网络模式,帮大家普及下虚拟机上网的背景知识.(博文原创自http ...

  4. 什么原因?全球许多网络提供商推迟部署IPv6

    全球许多网络提供商推迟部署IPv6,指出升级路由器和交换机的成本以及NAT为扩展IPv4地址所取得的令人印象深刻的成就. 这并没有阻止像澳门CTM这样的互联网服务供应商不要冒险,以此为榜样,并且满足终 ...

  5. 容器化之路Docker网络核心知识小结,理清楚了吗?

    Docker网络是容器化中最难理解的一点也是整个容器化中最容易出问题又难以排查的地方,加上使用Kubernets后大部分人即使是专业运维如果没有扎实的网络知识也很难定位容器网络问题,因此这里就容器网络 ...

  6. 网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)

    一.访问控制列表是什么? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问 ...

  7. iOS网络相关知识总结

    iOS网络相关知识总结 1.关于请求NSURLRequest? 我们经常讲的GET/POST/PUT等请求是指我们要向服务器发出的NSMutableURLRequest的类型; 我们可以设置Reque ...

  8. iOS网络基础知识

    iOS网络基础知识 1.一次HTTP请求的完整过程 (1)浏览器或应用发起Http请求,请求包含Http请求Http(请求),地址(url),协议(Http1.1)请求为头部 (2)web服务器接收到 ...

  9. 网络基础知识、ASP.NET 核心知识(1)*

    为什么要写网络? 我原本的计划是这样的,连续两天梳理ASP.NET开发的核心知识.说到这呢,有人问了.“不是说好了做ASP.NET笔记吗?为啥要写网络基础知识?是不是傻?” 原因是这样的.作为网站开发 ...

随机推荐

  1. SpringBoot开发案例之mail中文附件乱码

    前一段时间做过一个邮件发送的服务,以前大体都测试过,文本.图片.附件都是没有问题的,可有同事反应发送的附件名称有中文乱码,类似如下截图展示: 咋一看不像乱码,抱着试试看的态度,为MimeMessage ...

  2. 自定义流程gooflow2.0+自定义表单

    一.功能简介 gooflow功能清单1.自定义流程绘制2.自定义属性添加3.支持3种步骤类型普通审批步骤自动决策步骤手动决策步骤 4.决策方式(支持js决策,sql语句决策) 5.审批人员参与方式,可 ...

  3. WaitAll 和 WhenAll 的使用及区别

    用过.net 异步编程的同学都知道,比以前的多线程编程实现起来真的方便很多,今天把WaitAll和WhenAll这两种编程方式回顾总结一下(当然WaitAny.WhenAny是一样的操作) 1:Wai ...

  4. 微信支付之h5方式(非微信内置浏览器中支付)

    这两天完成了公司网站手机和PC端的支付对接,就是支付宝和微信. 对接完后有所感触,我们来聊一聊,微信支付的坑,为什么这么说呢,因为我在对接完支付宝后是很愉快的,基本上在demo上稍加修改就ok了, 对 ...

  5. 如何在maven pom.xml文件中设置Java编译器版本

    今天遇到一个问题: 在Eclipse中用maven创建一个新的web项目,然后再用maven update一下,则JDK版本自动变为1.5. 通过查找资料,终于发现maven编译器插件(Maven C ...

  6. pgpool-II主备流复制的架设

    1.环境 OS: CentOS release 6.4 (Final) DB: postgresql 9.3.6 pgpool服务器: pgpool 172.16.0.240 数据库主服务器:mast ...

  7. 上传文件没有写权限Access to the path is denied

    Access to the path is denied. asp.net程序目录放在系统盘,ntfs格式. 程序中对cfg.xml有写入操作. 运行的时候出现了这个问题. 在我自己的机器上没有问题 ...

  8. centos 7.1系统更改Mariadb数据存储位置步骤分享

    一.首先确保你要更改Mariadb数据存储的位置的空间够大 现在已将Mariadb存储位置更改到/opt/目录下 1.然后将Mariadb服务stop:systemctl stop mariadb 2 ...

  9. Jmeter脚本录制方法(二)——手工编写脚本(jmeter与fiddler结合使用)

    jmeter脚本录制方法可以分三种,前几天写的一篇文章中,已介绍了前两种,今天来说下第三种,手工编写脚本,建议使用这一种方法,虽然写的过程有点繁琐,但调试脚本比前两者方式都要便捷. 首先来看下三种方式 ...

  10. 索引节点inode详解

    Inode(index node),索引节点.Linux系统中,分区要进行格式化,创建文件系统.在每个Linux存储设备或存储设备的分区(可以是硬盘,软盘,U盘等)被格式化为ext3文件系统后,一般分 ...