大数据笔记

ACL：访问控制列表 

1. 访问控制-----在路由器的入或者出接口上，匹配流量，之后产生动作----允许/拒绝 
2. 定义感兴趣流量----帮助其他软件抓流量 

匹配规则：至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条； 在思科体系中，末尾隐含拒绝所有，在华为体系中，末尾隐含允许所有。 

ACL的分类：

标准------仅关注数据包中的源IP地址

扩展-----关注数据包中的源IP地址   目标IP地址  协议号或目标端口号 

标准ACL的配置：

由于标准ACL仅关注数据包中的源IP，故，调用时尽量靠近目标为最佳，防止误杀。

2000-2999 标准acl的编号   3000-3999 扩展acl的编号

[R2]acl 2000 创建标准ACL 编号为2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0  规定 拒绝 源 192.168.1.2  这个IP 

配置地址时，需要使用通配符

 Acl的通配符与ospf的反掩码匹配规则相同，唯一区别在于通配符可以进行0  1  的穿插 

[R2-acl-basic-2000]rule permit source any  规定 允许放通的IP为任意 

[R2-acl-basic-2000]rule 9 deny source 192.168.1.3 0.0.0.0  规定 步调为9  拒绝 源 192.168.1.3 这个IP

[R2]interface g 0/0/1 进入需要调用acl的接口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000  在0/0/1接口出方向上 调用acl2000

扩展acl：

由于扩展ACL可以对流量进行精确匹配，故，调用时尽量靠近源为最佳。

1.关注源IP 和目标 IP 

[R1]acl 3000 创建扩展acl  编号为3000

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0  规定拒绝 源 192.168.1.2 向目标 192.168.3.2 的ip行为 

2.在关注源IP 目标IP 的同时 在关注目标端口号/协议号

Telnet：远程登录  基于tcp 23号端口 

条件：

1. 登录与被登录设备之间必须可达
2. 被登陆设备开启telnet设定 

[R2]aaa  开启aaa服务

[R2-aaa]local-user MXY privilege level  15  password cipher 123456 创建一个名为MXY 权限为15 密码为123456 的用户 

[R2-aaa]local-user MXY service-type telnet 定义MXY账户适用于telnet协议

[R2]user-interface vty 0 4  创建用于账号登录的虚拟通道 0-4 个 

[R2-ui-vty0-4]authentication-mode aaa 该虚拟通道服务于aaa 

[R1]acl 3003  创建扩展acl 编号为3003

[R1-acl-adv-3003]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23  

规定 拒绝源 192.168.1.10 向目标 192.168.2.2 的 tcp行为中的 端口号为23的行为 

[R1-acl-adv-3003]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0  规定拒绝 源 192.168.1.10 向目标 192.168.2.2 的icmp行为

NAT：

公有------全球唯一性，可以在互联网中通信，付费使用

私有------本地唯一性，不能在互联网中通信，免费使用 

私网地址的范围：

A类：10.0.0.0------10.255.255.255

B类：172.16.0.0--------172.31.255.255

C类：192.168.0.0----------192.168.255.255 

NAT----网络地址转换，在边界路由器上，进行公有和私有地址间的转换

静态NAT       动态NAT       NAPT       端口映射

华为体系下的NAT配置全是在边界路由器的出接口上，

静态NAT ： 在我们私网的边界路由器上建立维护一张静态地址映射表，静态地址映射表反应了公有IP和私有IP之间一一对应的关系。

工作过程：当内网数据包来到边界路由器上，会首先检查其目的IP地址是不是公网IP地址，如果是，就会根据我们配置的静态地址映射表中查询该源IP对应的公网IP。如果有记录，则将发往公网的数据包源IP改为对应的公网IP。

[R2]interface g 0/0/1  进入边界路由器的出接口

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2  在NAT中  将 公网IP 12.1.1.3 与 私网IP 192.168.1.2 进行绑定 

[R2]display  nat static   查询NAT

动态NAT

动态NAT和静态NAT的最大区别在于地址映射表的内容是可以变化的，而不是写死的。 

所以，动态NAT不再是一对一的关系而是实现一对多的转换。

动态NAT在同一时间，还是一个公网IP对应一个私网IP。所以当上网需求较大时，便只能排队使用，造成延时上升。

像使用端口号加以区分的动态NAT我们又叫做NAPT----端口地址转化，也叫做PAT

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上再维护一张源端口号和私网IP地址的映射关系，因为端口号的取值范围时1-65535，既65536个，所以NAPT同时支持通过的数据包数量最大为65536个，这就形成了一对多的NAPT，华为系统重成这种NAPT为EASY ip 。     当上网需求量变大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就形成了65536的倍数增长，形成多对多的NAPT。 

一对多---EASY IP 

[R2]acl 2000创建 acl 2000

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

规定  允许 源为 192.168.0（255）.0（255）

[R2]interface g 0/0/1 进入 边界路由器的出接口

[R2-GigabitEthernet0/0/1]nat outbound 2000 在该接口上 将acl2000所定义的感兴趣流量  交给 NAT进行转化

多对多

首先，创建一个公网地址池

[R2]nat address-group 1 12.1.1.3 12.1.1.8  创建公网地址池 编号为1 范围是 12.1.1.3-----12.1.1.8 

（条件：1.必须是公网地址 2.地址必须连续）

[R2]acl 2000创建 acl 2000

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

规定  允许 源为 192.168.0（255）.0（255）------抓捕内网所有IP地址 

[R2]interface g 0/0/1  进入边界路由器出接口

[R2-GigabitEthernet0/0/1]nat  outbound  2000 address-group 1  在该接口上  将acl2000定义的感兴趣流量 交给 1号公网地址池 进行NAT转化 

---------------------------------------------------------------------------------

No-pat--------若添加 则为 静态多对多  若不添加  则为 动态多对多 

静态多对多----多个一对一

动态多对多-----多个一对多 

端口映射：

[R2-GigabitEthernet0/0/1]nat  server protocol  tcp global current-interface 80 inside 192.168.1.10 80 

将这个接口处IP地址的80端口 绑定给 192.168.1.10 的80端口 

[R2-GigabitEthernet0/0/1]nat  server  protocol tcp global current-interface 8080 inside 192.168.1.20 80

将这个接口处IP地址的8080端口 绑定给 192.168.1.10 的80端口