ACL原理与配置及NAT

目录

• 一、ACL原理和作用
  • 1.1子网掩码与反掩码
  • 1.2ACL的原理
  • 1.3ACL的作用
• 二、ACL两种应用
• 三、通配符掩码计算
• 四、ACL分类与标识
• 五、NAT的作用和四种模式

 

---

Top

一、ACL原理和作用

1.1子网掩码与反掩码

子网掩码：连续的1代表网络位，连续的0代表主机位，0和1中间不能穿插(比如255.255.255.0)

反掩码：连续的0代表网络位，连续的1代表主机位(例如：0.0.0.255)

通配符掩码;1代表可变，0代表不可变，中间0，1可以穿插，通配符越精确越好

1.2ACL的原理

ACL概念：是由一系列permit或deny语句组成的，有序规则的列表

匹配顺序：自上而下一旦匹配，立即执行，不再匹配，范围小的放上面

1.3ACL的作用

ACL作用：匹配流量，查看报文中的五元组，放行或者拒绝流量

五元组：源目IP，源目mac，端口号协议

Top

二、ACL两种应用

(1)应用在接口的ACL：过滤数据包（五元组）

(2)应用在路由协议上：匹配相应的路由条目

(3)NAT、IPSECVPN、QOS：匹配感兴趣的数据流（匹配上我设置的数据流）

Top

三、通配符掩码计算

通配符：通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配

通配符：通常采用类似网络掩码的点分十进制形式表示，但是含义与网络掩码完全不同

 

例1：192.168.1.1/24和192.168.1.2/24

第一步：化二进制1100 0000.1010 1000.0000 0001.0000 0001（192.168.1.1）

　　　　　　　　 1100 0000.1010 1000.0000 0001.00000010（192.168.1.2）

第二步：根据24位得0000 0000.0000 0000.0000 0000.0000 0011

第三步：化成十进制0.0.0.3（通配符掩码）

 

例2：192.168.1.0/24

第一步：化二进制1100 0000.1010 1000.0000 0001.0000 0000

第二部：根据24位得0000 0000.0000 0000.0000 0000.00000001

　　　　　　　　　......................................................................

　　　　　　　　　0000 0000.0000 0000.0000 0000.1111 1111

第三步：化成十进制0.0.0.255（通配符掩码）

 

例3：192.168.1.1/24和192.168.1.64/24（算1-64通配符掩码）

第一步：化二进制1100 0000.1010 1000.0000 0001.0000 0001（192.168.1.1）

　　　　　　　　1100 0000.1010 1000.0000 0001.0100 0000（192.168.1.64）

第二步：更具24位得0000 0000.0000 0000.0000 0000.0111 1111（这表示的是1-127范围的通配符掩码，而我们需要的是1-64，所以要注意此处的坑，我们可以分两步写此处的掩码）

第三步：化十进制0.0.0.0011 1111=0.0.0.63（表示1-63的通配符掩码）

　　　　　　　　192.168.1.64（64可单独写一个IP地址）

所以1-64的通配符掩码就是0.0.0.63+192.168.1.64

Top

四、ACL分类与标识

基本ACL：2000-2999，仅使用报文的源IP地址，分片信息和生效时间段信息来定义规则，比较模糊，尽量用在靠近目的的地点

高级ACL：3000-3999，可使用IPV4的五元组生效时间段等定义规则，比较精确，尽量靠在源目的的地点

ACL访问控制类表步骤：

第一步：建立规则

第二步：判断

第三步：进入接口，调用规则（inbound表示进站，outbound表示出站）

Top

五、NAT的作用和四种模式

NAT作用：用于实现私有网络和公有网络之间的互访

从内网到外网：数据包的源IP由私网IP转换成公网IP

从外网到内网：数据包的目的Ip由公网IP转成私网Ip

四种模式：

A:静态NAT：一个外网地址对应一个内网地址

B:动态NAT：建立一个外网地址池，当多台内网去访问外网时，从池子里获取一个未被使用的地址，在池子中已被使用的地址，会被打上标签，不再分给其他主机

C:NAT Server：将内网服务端口映射成外网服务的端口

D:Easy-IP：将端口和地址一起转换