1. ACL訪問控制列表
1.1 作用:
(控制和匹配)能夠通過匹配IP報文中的相關字段對感興趣數據包進行抓取;抓取特定的路由。應用在報文過濾、路由策略、NAT、×××、QoS等。
1.2 ACL類型
標準:
只能匹配報頭中的源IP地址
只能針對整個協議採取動作,無法針對特定的協議類型
擴展:
能匹配源目IP,以及四層端口號等信息
可以針對具體的協議類型進行匹配
隱藏規則:默認拒絕所有
匹配原則:從上到下匹配
命名原則:數字命名與字符串命名(反掩碼)
1.3 時間ACL(指定的時間內應用相應的ACL)
time-range 名字;periodic weekdays 9:00 to 18:00
1.4 自反ACL:內部允許訪問外部,外部不允許訪問內部。https://blog.csdn.net/u013047651/article/details/23019243(類似與防火牆)
1.5 ACL的分法:
主流的分發爲:基於編號的ACL和基於命名ACLVACL屬於三種交換ACL(PACL,RACL,VACL)中的一種PACL (Port ACL)是應用在二層接口上的,並沒有任何特別之處,將任何ACL應用到二層接口後,就稱爲Port ACL,但在二層接口只支持in方向,一個接口只能使用一條ACL,IP或MAC的ACL都可以應用到二層接口,但不能應用到EtherChannel.MAC是無法過濾IP流量的.RACL (Router ACL)和路由器接口上應用的ACL沒有區別,將任何ACL應用到三層接口(SVI, routing-port,3層EtherChannel)後,就稱爲RouterACL,但只能是IP ACL,不能使MAC ACL ,Router ACL在in和out方向上都可以使用,每個接口每個方向只能使用一條ACL.VACL (VLAN ACL(VLAN map))是使用在VLAN與VLAN之間的ACL,每個VLAN只能使用一個,當需要控制IPv4流量時,VLAN ACL需要調用IP ACL,而其他流量則需要靠調用MAC ACL.①當應用VLAN ACL後,進入或離開VLAN的流量都會被檢測,②無論是通過二層轉發的還是三層轉發的.③而且VLAN ACL是不能定義方向的,所以所有經過指定VLAN的流都會被過濾.當被調用的ACL匹配到流量後,默認動作是轉發,而沒有被匹配到的流量,默認也全部丟棄.
2. NAT網絡地址轉換
1.1 私網IP地址不能在公網上使用。
1.2 優缺點:
優點:節省IP地址空間;解決IP地址重疊問題;增加網絡的連入Internet彈性;減少重編址的麻煩;對外隱藏內部地址,增加網絡安全性。
缺點:增加轉發延遲;喪失端到端的尋址能力;某些應用不支持NAT。1.3 靜態NAT(內外網可以互相ping通)
服務場景:內網中存在需要對外網提供服務的服務器。
一對一映射
1.4 動態NAT(內網ping通外網,外網ping不通內網)
一個地址池對一內網IP(相當於一對一映射)
該方式的NAT不會對數據報頭中的端口地址進行轉換
1.5 PAT端口轉換
多對一的映射(IP+端口)和四層協議端口號沒關聯。
多個內部本地地址共同享用一個公網地址