<R1>dis traffic-filter applied-record
【查看本地ACL的调用情况 如:在端口,方向,】
<R1>dis traffic-filter statistics interface g 0/0/1 outbound
【查看特定端口的特定方向ACL流量的统计端口进入/出口状态】
<R1>display acl all
【查看所有的ACL】
<R1>display acl 3333
【查看特定的ACL 3333】
[R2-acl-adv-3333]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-【在ACL中设置拒绝R1远程R2】
[R1-gi0/0/2] traffic-filter inbound acl 2000
【在进入接口设置调用acl】
port eq 23
eq:等于
gt: 大于
it:小于
range:比如:1到10之间
ACL。表示所有:
[R2-acl-adv-3333]rule 10 permit ip
【允许所有】
[R2-acl-adv-3333]rule 10 deny ip
【拒接所有】
只要不写source 和destination 关键字就可以
注意:
基本的ACL,建议调用在距离目标IP地址 近的地方
【为了不影响路过目标IP地址的网段】
高级的ACL,建议条用在源IP地址 近 的地方
【提前拦截去往目标地址的数据,避免数据的浪费】
命名的ACL
[R2]acl name zhangsan {basic | advance }
【创建命名ACL 基本/高级选项】
[R2-acl-basic-zhangsan] rule 10 permit
【允许zhangsan所有】
命名ACL的好处:
通过配置命名的ACL,可以让我们更加容易区分和管理 ACL
但是为了便于 ACL 的配置与修改,
系统会给命名的ACL分配一个 id ;
以后在配置、修改、调用 ACL 的过程中,
通过该 id 和 通过名字,都是相同的。
常用的应用以及其端口号:
FTP: tcp 21
FTP-Data : tcp 20
telnet : tcp 23
web : tcp 80
smtp : tcp 25
pop3 : 110
dns : tcp 53
dhcp : udp 67/68
rip : udp 520
bgp : tcp 179
mstsc : tcp 3389
NAT-network address translation【网络地址转换】
------由私有地址转换成共有地址-
内网访问外网:
1 静态NAT:
私有--访问共有 1:1
不节省IP地址
[R1] nat static global 100.1.12.3 inside 192.168.1.1
【将外网映射成内网】
[R1-gi0/0/1] nat static enable
【在出端口开启静态NAT】
2 动态NAT
私有--访问共有 1:1
不节省IP地址
(创建组,组中是外网地址)
《内网访问组时,就会对应组中的外网地址》
【将出口的接口配置成访问外网的地址】
3 PAT/PNAT/NAT-Port/端口复用/端口NAT/port NAT
【这些都一个意思】
[R!!-GigabitEthernet0/0/1]nat outbound 2222
【将内网转换外网,运用ACL规则进行设置】
注意:
在NAT中调用的ACL与在接口调用的ACL,稍有不同
1 NAT中调用的最后一个隐含的默认动作是--拒绝所有
2 接口上调用的ACL最后一个隐含的默认动作是--允许所有
外网访问内网:
[R!!-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 (外网)8080 inside 192.168.1.10(内网) 80
【将外网映射成内网(加端口号安全性高点)】
原文地址:http://blog.51cto.com/13597266/2115798
