筆記 基本ACL 、 高級ACL

內容回顧：

       網絡
  IP
規模愈來愈大
浪費愈來愈嚴重
IP地址空間有限
   -公有地址|私有地址  （NAT）
   -子網劃分
   -IPv6

內網：私有地址
-通訊
     私有地址沒有資格在 Internet 流通；

     出去，可是回不來

     讓企業的數據包在出去的時候，
     攜帶的並非內部的私有地址，
     而是本身花錢買的公網IP地址；

     數據在傳輸過程當中，IP地址是永遠不會變化的（默認狀況下）。

     數據在傳輸過程當中，MAC地址是隨時變化的，每通過一個網段，都會
         變化一次。

     NAT：
        將內網的數據包中的源IP地址，轉換爲購買的公網IP地址；

        NAT工做的時候，是依靠一個核心工做表：
                                             NAT轉換表；
                    私有地址1   -----  公有地址1

--------
    NAT：network address translation 
 靜態NAT：
   在邊界設備上，手動的建立 NAT 轉換條目；

   私有：公有 =====   1:1

  動態NAT：
   在邊界設備上，設備基於數據包觸發而造成的 NAT 轉換條目，
   不須要人工干預。若是一個NAT轉換條目在一段時間以內不使用，
   在會自動的在 NAT 轉換表中自動刪除；

   -基本動態NAT
            私有:公有  ===== 1:1

   -P-NAT（端口複用）
            私有:公有  ===== N:1

問題：
    內網主動ping外網，是能夠通的；
    反之，則不通。

緣由：

 in        路由表
           NAT表        out  

 NAT高級應用：
端口映射

ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011

---

ACL:access control list ，訪問  控制  列表

  -做用：
   匹配感興趣的流量。
 -實現：
   #規則
   #動做(容許/拒絕)
   #事件     
 -表示：
   # ID 
   # name 
 -類型：
   #標準ACL/基本ACL
          ID 
          name
   #擴展ACL/高級ACL
          ID 
          name

---

ACL的配置思路：

0、確保原有數據的連通性(基於現網須要來肯定)；
      在沒有實施ACL以前，PC-1 與 PC-2 之間是互通的；

一、查看設備上已經存在的ACL
      [R1] display acl [2000] | all 

二、建立ACL
      [R1] acl 2000 [match-order  {config} | {auto} ]
      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 

三、調用ACL
      [R1]interface gi0/0/0
      [R1-gi0/0/0]tranffic-filter inbound acl 2000
四、驗證、測試、保存

      display acl 2000 //查看ACL的配置條目信息；
      display traffic-filter applied-record //查看ACL的調用信息；
      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
                       //查看特定端口上調用的ACL的使用信息；
      ping x.x.x.x
      save

實驗拓撲圖：

PC-1 ---> PC-2 
   #研究清楚流量的轉發路徑（來回路徑）
        &幹掉去的流量
        &幹掉回的流量
   #研究流量自己(特色+結構)

          L2 +  L3 + ICMP + FCS 

              ip-acl 
                   L3 
                     source-ip  +  destination-ip 
                          基本ACL 
                               -僅僅關注IP頭部中的 source-ip ; 
                          高級ACL 
                               -能夠同時關注 source 和 destination ，
                                 而且，還能夠關注 IP 頭部後面的內容，
                                 好比 TCP/UDP

====================================================================

刪除ACL：
一、正確的刪除姿式
       #首先解除 ACL 調用關係
           Interface gi0/0/0 
               undo traffic-filter inbound

       #其次刪除 ACL 條目自己
           undo acl 2000 

       #最後刪除的最終結果

二、當調用一個不存在的 ACL 時，表示的是容許全部；

      注意：
一、同一個端口的，同一個方向，只能同時存在一個 ACL ；

二、若是想更改端口上調用的 ACL ，必須：
   首先，刪除端口上的 ACL 調用命令；
   再次，從新調用一個新的 ACL ； 

三、端口上的 ACL ，不容許直接覆蓋；

四、華爲中的ACL，沒有匹配住的流量，默認是容許的；

五、基本ACL/標準ACL，強烈建議調用在「距離目標設備」近的地方；

---

3層ACL
 基本ACL 
       數字ACL
       命名ACL
 高級ACL 
       數字ACL 
       命名ACL 
2層ACL

一、命名的ACL在建立的時候，須要指定類型；
     二、在ACL中，若是不寫 source 或者不寫 destination ，則表示全部源或目標
    三、在配置ACL的過程當中，若是在輸入 source 或 destination 的時候，直接回車
     則表明「全部」；

=================================================================

    R2：PC1-PC2不通，其餘所有互通；
     一、建立ACL
       [R2]acl 3000
       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
                                           destination 192.168.10.1 0.0.0.0
     二、調用ACL
       [R2]interface gi0/0/0 
       [R2-gi0/0/0]traffic-filter inbound acl 3000
     三、驗證、測試、保存
       display acl 3000
       display traffic-filter applied-record
       PC2:
          ping 192.168.10.1 ,no
          ping 192.168.10.3 ,yes
       PC4/5:
          ping x.x.x.x , yes 

       <R2>save

    R2:PC4/5與全網其餘主機互通，其餘流量所有不通；
     一、建立ACL 
          [R2]acl name Only-PC4-5 advance 
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule 100 deny ip         
     二、調用ACL 
         [R2]interface gi0/0/0
         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
     三、驗證、測試、保存 

===============================================================

    小實驗配置需求：
    一、PC-1與PC-2之間的任何類型的流量都沒法互通；
    二、PC-3能夠 ping 192.168.30.88(server-2)，可是沒法 ping www.ntd1711.com ； 
    三、PC-4與PC-3之間的任何類型的流量都沒法互通；
    四、Client-1 能夠 ping www.ntd1711.com，可是沒法經過自帶的瀏覽器打開
    Server-2中的 web 功能（即，www.ntd1711.com）

     祕訣：
       想要控制流量，必須先認識流量的封裝方式、使用的協議；
       想要控制流量，必須先認識流量的轉發路徑和方向；

     acl access console list 訪問控制列表
     基本acl   2000-2999
     高級acl   3000-3999
     acl 3000
    rule，從5開始，每一條隔5，從小往大執行
    in/out
    接口
    進入接口，traffic-filter in/out acl 3000

    建立acl
    acl number 3369  
     rule 5 deny icmp source 192.168.1.1 0 destination 192.168.20.2 0
    interface GigabitEthernet0/0/0
    調用acl
    ip address 192.168.1.254 255.255.255.0 
    traffic-filter inbound acl 3369
    一堆查詢
    [R1]display acl all   查詢acl列表
    [R1]display traffic-filter applied-record    查詢流量過濾應用記錄
    [R1]display traffic-filter statistics interface G0/0/0 inbound
     查詢接口上in方向流量信息
===========================================
       Telnet管理
        aaa認證：
AAA-----身份驗證(Authentication)、受權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。

    R3
    G0/0/1 192.168.20.2
    不容許1.1 ping

    基本ACL:匹配感興趣的流量，在匹配流量時，只能匹配源IP地址
                  配置在：建議在距離目標地址最近的地方
    高級ACL：在匹配流量時，能夠匹配源地址，目標地址，傳輸層協議和端口號
                  配置在：建議在距離目標地址最近的地方（流量轉發路徑上的設備上的端口上in/out）