11.ACL+NAT原料与配置完整VIP免费

ACL技术概述用途1.登录控制telnet、ftp、http等2.报文转发进行过滤NAT、IPSec、QoS3.路由过滤（的匹配）ACL，IPPrefix-list可以进行匹配和过滤的内容源、目IP地址，协议号（TCP/UDP），源、目四层端口可以只匹配其中一个，也可以匹配多个ACL基本概念和工作原理ACL组成ACL编号与分类ACL编号：每个ACL都需要分配一个编号，称为ACL编号，用来标识ACL。基本ACL1.2000-29992.仅使用报文的源IP地址来定义规则3.不够直观，这个编号的ACL是干啥的？高级ACL1.3000-39992.可以对IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP（UDP）源/目的端口号来进行规则定义，会更加灵活地进行匹配。3.基本ACL能做的，高级ACL也能做4.不够直观，同上数字ACLaclnumber2000=acl2000aclnumber3000=acl3000命名ACL1.不能命名为数字2.使用aclnameNAMEbasic来创建基本命名ACL3.使用ACLnameNAMEadvance来创建高级命名ACLACL规则编号与步长规则一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。规则编号每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。步长1.系统自动为ACL规则分配编号时，每个相邻规则编号之间会有一个差值，这个差值称为“步长”。缺省步长为5，所以规则编号就是5/10/15…以此类推。2.如果手工指定了一条规则，但未指定规则编号，系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。步长可以调整，如果将步长改为2，系统则会自动从当前步长值开始重新排列规则编号，规则编号就变成2、4、6…。3.步长直接rule1/2/3/4…为什么不可以？先来看一个小题目：如果希望增加一条规则，该如何处理？可以在rule10和rule15之间，手工加入一条rule11。因此，设置一定长度的步长的作用，是方便后续在旧规则之间插入新的规则。通配符通配符（Wildcard）0表示完全匹配，1表示不关心，对于0和1的排列顺序没有要求可以写成0.0.0.2540.0.0.00.0.255.0特殊用法匹配奇数的主机192.168.1.10.0.0.254匹配所有any或者x.x.x.x255.255.255.255反掩码（wildcard）一般用于OSPF中，用于确定哪些接口启用OSPF必须是先连续的0，后连续的1。否则报错但是很奇葩的是，如果你写成掩码，系统也会自动给你更改为反掩码。掩码（ipaddressmask）用于确定网络位和主机位，必须是连续的1+连续的0，其中（0是可选的）动作每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指“允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。在IA阶段，ACL更多与流量过滤技术结合使用（即流量过滤中调用ACL），permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。ACL匹配机制1.自rule规则小的至规则编号大的进行匹配2.首次匹配后就跳出3.都不匹配则匹配默认（Cisco是拒绝所有，Huawei的ACL用于Traffic-filter的时候是允许所有）备注：Huawei的ACL在不同应用场景默认行为不同。一条ACL可以由多条“deny或permit”语句组成，每一条语句描述一条规则，这些规则可能存在包含关系，也可能有重复或矛盾的地方，因此ACL的匹配顺序是十分重要的。华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式。自动排序auto是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂。配置顺序config系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。ACL使用的注意事项事项一设备的一个端口的一个方向只能使用一个ACLinbound指的是进入该设备（可能访问该设备或者通过该设备进行转发）outbound指的是离开该设备。事项二路由器的ACL在端口上使用，交换机在全局使用，可以针对1个VLAN使用多个ACL*交换机上一般不适用于二层接口，因为一般而言多个二层端口属于一个VLAN事项三进入设备是先进行ACL处理，然后路由，先路由然后离开设备后碰到ACL...