ACL与NAT
1.Linux系统基础2.Linux系统三种安装方式3.vim基础4.查询文件命令5.编辑网络配置文件6.vimtutor总结7.建立yum仓库8.Linux系统用户创建及权限9.Linux磁盘分盘10.自动挂载11.Linux系统安装程序---编译安装并加入systemd中12.计算机网络的参考模型13.IP地址14.交换机15.路由器16.VLAN17.不同vlan通信连接18.VRRP协议
19.ACL与NAT
20.网络部份考题21.Linux基础22.Linux命令注解23.目录命令24.操作命令25.压缩解压26.显示命令27.查询命令28.RIAD配置摘要29.系统启动引导30.进程以及其有关命令31.问题解析32.系统安全33.日志34.脚本大纲35.文本编辑器36.常用脚本37.LAMP38.LNMP39.nginx使用40.LVS集群41.Keepalived应用42.Tomcat43.自动化部署ansible44.Haproxy反向代理45.安装MySQLACL
ACL 应用
- 应用在接口的ACL-----过滤数据包(5元组:源目IP+端口号+协议TCP/UDP)
- 应用在路由协议-------匹配相应的路由条目( )
- NAT、IPSEC、VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
ACL 工作原理:
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类:
- 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
ACL(访问控制列表)的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则:
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL书写格式与应用
acl 2000(基本acl 2000-2999)
#新建表格
rule number permit/deny source 匹配的条件(源ip地址) 通配符掩码(控制范围)
#permit 同意、deny 拒绝、source 源
int 端口
##基本ACL遵循靠近目的地设置##
traffic-filter outbound acl 2000
发送时过滤条件取用acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
#通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插
例:允许192.168.1.0-192.168.1.7通过
前三段不可变则为0.0.0.第四段:0-7,0000 0000-0000 0111则为3位可变则通配符为0.0.0.7
例:允许192.168.1.0-192.168.1.8通过
前三段不可变则为0.0.0.第四段0-8,0000 0000-0000 1000由于8为0-7加上8(0-7为前三位都有变换,8为0000 1000只有一个)则通配符为0.0.0.7,0.0.0.8
则:rule 5 deny source 192.168.1.0 0.0.0.7,rule 10 deny source 192.168.1.1 0.0.0.8
例:允许192.168.1.0为偶数的通过
偶数则二进制最后一位为0不变所以通配符为1111 1110为254即rule 5 deny source 192.168.1.0 0.0.0.254
例:允许192.168.1.0为奇数的通过
偶数则二进制最后一位为1不变所以通配符为1111 1110为254即rule 5 deny source 192.168.1.1 0.0.0.254
acl 3000(高级ACL3000~3999)
#新建表格
rule number permit/deny 协议 source 源IP 通配符 destination 目的IP 通配符 destination-port 范围 端口号
#destination 目的地、destination-port目的端口
#范围:eq 等于,gt 大于,lt 小于,range 两数之间
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www
拒绝192.168.1.1访问192.168.2.1的TCP 80端口
##高级ACL遵循靠近源地址设置##
基本ACL应用
#客户端1、2不允许访问服务器1
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
int g0/0/1
traffic-filter outbound acl 2000
#客户端1不允许访问服务器1
acl 2000
rule 5 deny source 192.168.1.1 0.0.0.0
int g0/0/1
traffic-filter outbound acl 2000
#奇数客户端不允许访问服务器1
acl 2000
rule 5 deny source 192.168.1.1 0.0.0.254
int g0/0/1
traffic-filter outbound acl 2000
高级ACL应用
#拒绝192.168.1.1访问192.168.2.1的TCP 80端口
acl 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80
int g0/0/0
traffic-filter inbound acl 3000
NAT
NAT(网络地址翻译)
一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
静态NAT
int g0/0/1
nat static enable ----自动启用NAT
nat static global 200.1.1.100 inside 192.168.1.1 ----将公网地址200.1.1.100替换私网地址192.168.1.1
#为1公网地址对应1私网地址
动态NAT
nat address-group 1 200.1.1.10 200.1.1.15 ----建立公网地址池(10-15)
acl number 2000 ----建立基本ACL
rule 5 permit source 192.168.1.0 0.0.0.255 ----允许192.168.1.0网关中所有的主机通过
int g0/0/1
nat outbound 2000 address-group 1 no-pat ----允许ACL 2000条件下的主机使用group 1中的公网地址
#no-pat 不转换端口;公网池中用完需排队等待
Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
acl 2000
rule permit source 192.168.1.0 0.0.0.255 ----允许192.168.1.0网关中所有的主机通过
int g0/0/1
nat outbound 2000 ----acl 2000中的主机使用nat
display nat session all ----查看所有nat会话
NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
[企业出口]
int g0/0/1
nat server protocol tcp global current-interface www inside 192.168.1.100 www
#将当前公网接口的tcp协议 80端口当成内网192.168.1.100的tcp协议 80端口
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 单元测试从入门到精通
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律