当前位置：首页 > news >正文

HCIA(ACL)

news 2025/9/14 14:46:24

第七节

ACL：访问控制列表

访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝

定义感兴趣流量-----帮助其他软件抓流量

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源目标IP地址协议号端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999 标准 3000-3999 扩展

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

[R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0 0.0.0.255 他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000

[R2-acl-basic-2000]rule permit source any 规定允许所有IP通过

[R2]ACL name classroomA

扩展ACL 关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

在关注源/目标IP地址的同时，再关注目标端口号

Telnet---远程登录基于TCP23号端口工作

条件：1.登录设备与被登陆设备之间必须可达

2.被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定拒绝 tcp行为中的源192.168.4.1 向目标 192.168.2.2 的端口号为23的行为

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝源IP 192.168.4.1 向目标IP 192.168.3.1 的ICMP行为

一个接口的入或者出方向上只能调用一张acl表格

NAT：网络地址转换

公有IP和私有IP的区别

公有IP----全球唯一可以你在互联网中通信付费使用

私有IP----本地唯一不能在互联网中通信免费试用

A类：10.0.0.0---10.255.255.255

B类：172.16.0.0------172.31.255.255

C类：192.168.0.0-----192.168.255.255

NAT-----网络地址转换，在边界路由器上，进行公有地址和私有地址间的转化

NAT的分类：静态NAT 动态NAT NAPT 端口映射

在华为设备中 NAT的全部配置一定是在边界路由器的出的接口方向上。

静态NAT：

我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间一一对应的关系

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2

[R2]display nat static 查询nat映射关系

动态NAT

静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨转化的形式----NAPT（端口地址转化）也叫PAT

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。

一对多

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[R2-GigabitEthernet0/0/1]nat outbound 2000

多对多

创建公网地址池

[R2]nat address-group 1 12.1.1.2 12.1.1.10

其中包含 12.1.1.12------12.1.1.10

注意：1.必须是公网 2.必须是连续的IP

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

在该接口上将acl2000定义的感兴趣流量交给公网地址池 1 进行NAT转化

No-pat 添加则代表为静态多对多不添加则是动态多对多

静态多对多：多个一对一

动态多对多：多个一对多

端口映射

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80

HCIA(ACL)

相关文章：

HCIA(ACL)

react基础之reactHooks

Java基础0-Java概览

SW绘制曲面

css知识点梳理2

攻防世界 MISC miao~详解

使用 `tracert [options] ＜目标地址＞` 命令的详细介绍

闲一品交易平台：SpringBoot技术的新境界

【深入浅出】深入浅出transformer（附面试题）

苹果重大更新，macOS与iOS同时推出更新！功能真好用

刘艳兵-DBA016-在您的数据库中，SALES表存在于SH用户中，并且启用了统一审计。作为DBA，您成功执行了以下指令:

力扣题目解析--整数反转

净水前置需要安装吗？

在深度学习研究方向有哪些创新点

YOLOv11改进策略【卷积层】| 2024最新轻量级自适应提取模块 LAE 即插即用保留局部信息和全局信息

工作转型与个人突破提升：如何在社会浪潮中激流勇进

mongodb：增删改查和特殊查询符号手册

你的Mac book多久没有清洁键盘屏幕了，Mac清洁好帮手来了

ANA基因组数据库（ANAgdb）

leetcode 704 二分查找

7.4.分块查找

以下是对华为 HarmonyOS NETX 5属性动画（ArkTS）文档的结构化整理，通过层级标题、表格和代码块提升可读性：

蓝桥杯 2024 15届国赛 A组儿童节快乐

linux arm系统烧录

土地利用/土地覆盖遥感解译与基于CLUE模型未来变化情景预测；从基础到高级，涵盖ArcGIS数据处理、ENVI遥感解译与CLUE模型情景模拟等

前端开发面试题总结-JavaScript篇(一)

汇编常见指令

分布式增量爬虫实现方案

Mac下Android Studio扫描根目录卡死问题记录

AirSim/Cosys-AirSim 游戏开发（四）外部固定位置监控相机