目录
匹配 IP 进行控制。
只能匹配源。
编号范围:2000 ~ 2999
允许
- acl number 「编号」!创建ACL
- rule「第几条规则」permit source「要进行匹配的IP」「通配符」
拒绝
- acl number 「编号」
- rule「第几条规则」deny source「要进行匹配的 IP」「通配符」
应用到接口
- int 「接口」
- traffic-filter inbound acl「编号」
- !在此接口的入方向调用该 ACL
- traffic-filter outbound acl「编号」
- !在此接口的出方向调用该 ACL
可匹配源目的 IP、端口、协议。
编号范围:3000 ~ 3999
- acl「编号」
- rule「规则号」「permit」或「deny」「协议」source「源 IP」「通配符」source-port「源端口」destination「目的 IP」「通配符」destination-port「端口」
- acl name「名称」「basic」或「advance」
- !创建基本或高级 ACL 并设置名称
- !规则配置与基本或高级 ACL 相同
默认规则间隔为 5,按顺序匹配。
在用于过滤的时候,每条 ACL 中最后都隐含默认允许所有。
私有地址在访问外网时需要进行 NAT 地址转换,转为公网地址。
手工配置,给私有地址分配一个对应的固定公网地址。
- int 「接口」
- nat static global「公网地址」inside「私网地址」
- !在内网访问外网的出接口配置
-
- 或
-
- nat static global「公网地址」inside「私网地址」
- nat static enable !使能 nat static 功能
- !在系统视图配置
自动分配给私有地址一个地址池中的可用公网地址。
- nat address-group「地址池编号」「起始地址」「结束地址」
- !配置地址池
- acl number
- rule permit source「要匹配的私网 IP」「通配符」
- !匹配需要进行动态转换的私有地址范围
- nat outbound 「ACL编号」 address-group 「地址池编号」no-pat
- !在内网访问外网的接口下关联 ACL 和地址池
- !no-pat 表示不进行端口转换
在动态 NAT 基础上,将多个私网地址转换为同一个公网地址,不同端口号。
- nat address-group「地址池编号」「起始地址」「结束地址」
- !配置地址池
- acl number
- rule permit source「要匹配的私网 IP」「通配符」
- !匹配需要进行动态转换的私有地址范围
- nat outbound 「ACL编号」 address-group 「地址池编号」
- !在内网访问外网的接口下关联 ACL 和地址池
- display nat mapping table all
- !查看 NAT 映射表信息
ACL 在对使用在 NAT 中,结尾隐含拒绝所有。
直接使用出接口的 IP转换成不同端口。
- int 「接口」
- nat outbound 「ACL号」
「公有地址 + 端口」和「私有地址 + 端口」的一对一映射。
- int 「端口号」
- nat server protocol tcp global「公网地址」「端口号」inside 「私网地址」「端口号」