网络拓展知识 ACL NAT IPv6

第1章 ACL 访问控制列表

访问控制表（”位代表精确匹配，而“1“位代表不许匹配。

例如路由器EIGRP的配置中：

RouterA(config)#router eigrp 100

RouterA(config-router)#network 10.0.0.0 0.0.0.255

RouterA(config-router)#network 192.168.1.0 0.0.0.255

10.0.0.0 0.0.0.255说明只要接口的IP地址是以“10”开头就参与EIGRP进程。

同理的，192.168.1.0 0.0.0.255说明只要IP是以192.168.1开头的IP就符合。

1.6.4 通配符缩写

192.168.1.1 0.0.0.0 == host 192.168.1.1

精确匹配192.168.1.1这个ip

0.0.0.0 255.255.255.255 == any

匹配所有IP

1.7 【实例】标准ACL

禁止主机A 上外网

1.7.1 拓扑图

1.7.2 配置路由acl

R-acl-1(config)#access-list 1 deny 192.168.1.1 0.0.0.0

R-acl-1 (config)#access-list 1 permit any

应用到接口上

R-acl-1 (config)#interface fastEthernet 0/0

R-acl-1 (config-if)#ip access-group 1 in

1.7.3 检查ACL 表内容

R-acl-1#show access-lists 1

Standard IP access list 1

deny host 192.168.1.1 (6 match(es))

permit any

1.8 扩展访问控制列表的配置

同一个接口上针对一种协议只能用一个ACL

1.8.1 配置命令

access-list {100-199} {permit/deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard  [operator port] [established]  [log]

access-list {100-199}  permit/deny  协议号 源地址 通配符 目的地址 通配符

应用

ip access-group access-list-number {in|out }

在接口中应用

应用时关联入或出站方向

1.9 【实例】扩展ACL

禁止A网段中的192.168.1.1-192.168.1.30 访问B网段的服务器

1.9.1 拓扑图

1.9.2 路由器acl配置

R-ACL-2(config)#access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200

R-ACL-2(config)#access-list 100 permit ip any any

应用到接口

R-ACL-2(config)#interface fastEthernet 0/0

R-ACL-2(config-if)#ip access-group 100 in

1.9.3 检查acl信息

R-ACL-2#show  access-lists 100

Extended IP access list 100

deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200

permit ip any any

C:\>PING 192.168.2.200

Pinging 192.168.2.200 with 32 bytes of data:

Reply from 192.168.1.254: Destination host unreachable.

Reply from 192.168.1.254: Destination host unreachable.

1.9.4 禁止访问某一项服务

access-list 100 deny tcp any host 192.168.2.200 eq 23

access-list 100 permint any

标准于扩展ACL的配置内容

R-ACL-2(config)#access-list 1 permit ?

A.B.C.D  Address to match

any      Any source host

host     A single host address

R-ACL-2(config)#access-list 100 permit  ?

ahp    Authentication Header Protocol

eigrp  Cisco's EIGRP routing protocol

esp    Encapsulation Security Payload

gre    Cisco's GRE tunneling

icmp   Internet Control Message Protocol

ip     Any Internet Protocol

ospf   OSPF routing protocol

tcp    Transmission Control Protocol

udp    User Datagram Protocol

1.10 命名访问控制列表的配置

1.10.1 配置命令

格式

ip access-list  { extended|standard } name

配置

R-ACL-2(config)#ip access-list extended test

R-ACL-2(config-ext-nacl)#10 deny TCP 192.168.12.0 0.0.0.255 any eq 23

R-ACL-2(config-ext-nacl)#20 permit ip any any

查看

R-ACL-2#show ip access-lists test

Extended IP access list test

deny tcp 192.168.12.0 0.0.0.255 any eq telnet

permit ip any any

应用到接口

R-ACL-2(config)#interface fastEthernet 0/0

R-ACL-2(config-if)#ip access-group test in

1.11 注意

 每个接口，每个方向，每种协议，只能设置1个ACL

 组织好你的ACL的顺序，比如测试性的最好放在ACL的最顶部

 不可能从ACL中除去1行，除去一行意味着你将除去整个ACL。命名ACL除外

 默认acl结尾语句时deny any ，所以在ACL中至少有一句permint语句

 记得创建了ACL后应用到接口上

 ACL是用于过滤经过路由器的数据包，他并不会过滤路由器本身产生的数据包

 尽可能的把IP标准ACL放在距离目标近的地方；把扩展ACL放在离源地址近的地方

第2章 NAT动态地址转换

2.1 为什么需要NAT

IPv4地址紧缺

解决方案： DHCP、IPv6、NAT

2.1.1 私有地址空间

私有地址（Private address）属于非注册地址，专门为组织机构内部使用。

NAT将私有地址转化为共有IP

2.2 私有IP地址空间

10.0.0.0 ~ 10.255.255.255

172.16.0.0 ~ 172.31.255.255

192.168.0.0 ~ 192.168.255.255

2.3 NAT术语

名称	含义
内部本地	转换之前内部源地址的名字
外部本地	转换之前目标主机的名字
内部全局	转换之后内部主机的名字
外部全局	转换之后外部目标主机的名字

2.4 NAT三种类型

2.4.1 静态NAT

一对一映射

基本网络地址转换（，不然就无法确定每个。

3.2 IPv6地址类型

单播地址

–全球单播地址：典型的、可路由的通用地址

–链路本地地址：私有地址、不能被路由

–本地唯一地址：用于非路由目的，但是全球唯一

组播地址

任播地址

3.2.1 单播地址（unicast）

单播地址又叫单目地址，就是传统的点对点通信，单播表示一个单接口的标识符。IPv6单播地址的类型又分：全球单播地址、链路本地地址和站点本地地址。

 全球单播地址相当于IPv4的公网地址，这类地址由供应商提供，或由交换局提供，可聚集全球单点传送地址结构。

 链路本地单播地址是处于可聚集全球单播地址外的，只限于直连链路，是单网络链路上给的主机编号，作用是进行链路上主机的通信

 本地唯一地址用于对特定范围的通信也可说成是规定站点内的通信，不能与站点外地址通信，也不能直接连接到全球Internet。

3.2.2 组播地址（multicast）

又称为多点传送地址或者多播，即一组接口的标识符，只要存在合适的多点传输的路由拓扑就可将设有多播地址的包传输到这个地址识别的那组接口。

3.2.3 任播地址（anycast）

又称之为任意点传送地址，它也是一个标识符可以识别多重接口的情况，只要有合适的路由拓扑，即可以将设有任意传播地址的数据包传给位址识别的最近的单一接口。

最近的接口是指最短的路由距离。任意点传送地址空间可以认为是从单点传送地址空间中划分出来的，它可以是表示单点传送地址的任何形式。它与单点传送地址间结构上是没有差别的。目前，任意点传送地址仅分配给路由器。

子网-路由任意点传送地址是必须预先定义的，根据给定接口的子网前缀产生，要构建一个子网路由任意点地址必须固定子网前缀的位数，余下位数必须设定为0。

3.3 IPv6特殊的地址

IPv6地址	功能
0:0:0:0:0:0:0:0 等于::	等价于IPv4的0.0.0.0
0:0:0:0:0:0:0:1 等于::1	等价于IPv4的127.0.0.1
0:0:0:0:0:0:0:192.168.100.1	这是在IPv6/v4混合网络中IPv4地址表示
2000::/3	全球单播地址范围
FC00::/7	本地唯一单播地址范围
FE80::/10	链路本地单播地址范围
FF00::/8	组播地址范围
3FFF:FFFF::/32	为示例和文档保留的地址
2001:0DB8::/32	也是为示例和文档保留的地址
2002::/16	拥有IPv6到IPv4的转换系统，IPv6包直接通过IPv4网络传输

3.4 自动配置

某台设备的MAC地址：

0060.D673.1987

0260.D6FF.FE73.1987

u IPv6地址的接口ID是64位，MAC地址只有48位，因此需要再加上16位，及在中间填充FFFE

02 → 00000010

u 在填充过程中，第7位如果改成值为1，及为全球唯一的，这一位改成值为0，及为本的唯一的

u 这种类型的自动配置称为“无状态自动配置”

3.5 用IPv6配置Cisco路由器

在路由器上启用IPv6，默认时，IPv6流量转发被禁用

ipv6 unicast-routing

在接口上配置IPv6地址

ipv6 address 2001:db8:3c4d:1:0260.d6FF.FE73.1987/64

启用接口，通过DHCP获得IPv6地址

ipv6 enable