問題列表：

TO DO LITS

工作高效的17個工具

---

流量控制工具 - ACL
-作用
-對象
2層流量(DMAC+SMAC+Vlan+Type+ ..... +FCS-frame-checksum)
3層流量(DIP+SIP)
-動作
permit?
deny?
-實現(xiàn)
ACL

IP-ACL（3層ACL，針對的是3層流量）

標(biāo)準(zhǔn)ACL：
只能匹配IP數(shù)據(jù)包的 源IP地址

擴(kuò)展ACL：
能夠同時匹配IP數(shù)據(jù)包的(源IP 目標(biāo)IP) 傳輸層協(xié)議

擴(kuò)展ACL匹配流量，更加精確：確定流量的唯一5元組：源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議對數(shù)據(jù)而言，凡是能夠通過“傳輸層協(xié)議+端口號”的方式進(jìn)行表示的，則表示該數(shù)據(jù)是屬于“應(yīng)用層”。路由器查找路由表時，有一個最長匹配原則，匹配的越長，表示地址越精確。

---

實驗名稱：擴(kuò)展ACL的原理與應(yīng)用
實驗拓?fù)?#xff1a;
實驗需求：
R1可以ping通R4；
R1的 loopback 0 無法 telnet R4 ；
實驗步驟：
1、確保網(wǎng)絡(luò)互通
#基于拓?fù)鋱D，配置設(shè)備端口地址；
#配置靜態(tài)路由，確保網(wǎng)段互通；
&一個一個的寫；
&默認(rèn)路由： 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有網(wǎng)絡(luò)。

2、配置ACL策略 想要抓取一個流量必須了解一個流量配置命令：(R2)ip access-list extended Deny-telnet10 deny tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet20 deny tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet30 permit ip any any

!?
或者

ip access-list extended Deny-telnet10 deny tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet20 deny tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet30 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.2553、調(diào)用ACL策略R2:interface fas0/1ip access-group Deny-telnet in 4、驗證ACL策略R2: show ip access-list show ip interface fas0/1 R1:telnet 10.10.4.4 /source-interface loopback 0 -> no telnet 192.168.34.4 /source-interface loopback 0 -> no其他所有地址之間的所有類型流量，都是通的。

注意：?
ACL不會對本地設(shè)備發(fā)起的流量起作用，僅僅對穿越流量起作用；

=========================================================

ISP(internet service provider)

EMS

==========================================================
NAT
network address translation : 網(wǎng)絡(luò)地址轉(zhuǎn)換
-作用：
-實現(xiàn)：
1、區(qū)分NAT網(wǎng)絡(luò)邊界
nat inside / outside

GW:interface fas0/0 ip nat inside interface fas0/1 ip nat outside 2、配置轉(zhuǎn)換條目ip nat inside source static 192.168.10.1 34.1.1.33、驗證與測試GW:show ip nat translation -> 查看NAT的轉(zhuǎn)換表debug ip nat --> 查看網(wǎng)關(guān)對數(shù)據(jù)包的NAT處理過程undebug all --> 同時關(guān)閉所有的 debug 調(diào)試命令；PC1/2:ping 100.1.1.4

實驗名稱： NAT 的原理與應(yīng)用
實驗拓?fù)?#xff1a;?
實驗需求：?
1、在GW(R3)配置NAT，實現(xiàn) PC1/2 對模擬服務(wù)器 - 100.1.1.4/24
的訪問；?
2、基于圖中所示，配置IP地址；
配置思路：?
1、配置R1/R2模擬成PC；
關(guān)閉路由功能 - no ip routing?
配置網(wǎng)關(guān)IP地址 - ip default-gateway 192.168.10.254
2、配置網(wǎng)關(guān)設(shè)備的IP地址以及路由
3、配置NAT的相關(guān)命令：
#配置NAT網(wǎng)絡(luò)邊界
#配置NAT轉(zhuǎn)換條目命令
4、驗證與測試
GW:
show ip route?
show ip nat translation?
debug ip nat?
undebug all
PC-1/2:?
ping x.x.x.x

本文轉(zhuǎn)自 Mr_Lee_1986 51CTO博客，原文鏈接：http://blog.51cto.com/13504837/2057491，如需轉(zhuǎn)載請自行聯(lián)系原作者

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的扩展ACL的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。