ACL 访问控制列表及NAT 网络地址翻译
目录
一、ACL 访问控制列表
1. 概述
由一系列的permit或deny语句组成的有序规则的列表
是一个分配工具,能够对报文匹配和分区
2. 作用
用在接口:过滤数据包
用在路由协议:匹配相应的路由条目
NAT、IPSEC VPN、QOS:匹配专门设置的数据流
3. 原理
数据包经过启用了ACL的接口,路由器会对报文进行检查,并作出相应的处理(接受/拒绝)
4. 种类
基本ACL:编号范围 2000 - 2999 ,依据数据包中源ip地址匹配数据(数据从哪个ip地址过来的)
高级ACL:编号范围 3000 - 3999 ,依据数据包中的源目的ip、源 目的端口、协议号匹配数据
二层ACL:编号范围 4000 - 4999 ,依据MAC、VLAN-ID、802.1q
5. 实验
(1) 拓扑图
(2) 实验目标
① Client1 禁止访问 Server1
② Client2 禁止访问 HttpServer
(3) 配置
| Client1 配置 | Client2 配置 |
|---|---|
 |
 |
| Server1 配置 | Server2 配置 |
 |
 |
R1 配置
acl number 2000 # 创建并进入 acl 2000
rule 5 deny source 192.168.1.1 0 # 设置 编号为5
acl number 3000 # 创建并进入 acl 3000
rule 5 deny tcp source 192.168.1.2 0 destination 192.168.2.1 0 destination-port eq www
# 设置 编号为5,拒绝源ip地址为192.168.1.2 目的ip地址为192.168.2.1的tcp路由
interface GigabitEthernet0/0/0 # 进入g0/0/0端口
ip address 192.168.1.254 255.255.255.0 # 配置网关、子网掩码
traffic-filter inbound acl 3000 # 将acl 3000 设置在g0/0/0 端口(高级acl设置在离源主机近的一端)
interface GigabitEthernet0/0/1 # 进入g0/0/1端口
ip address 192.168.2.254 255.255.255.0 # 配置网关、子网掩码
traffic-filter outbound acl 2000 # 将acl 2000 设置在g0/0/1 端口(初级acl设置在离目的主机近的一端)
interface GigabitEthernet0/0/2 # 进入g0/0/2端口
ip address 192.168.3.254 255.255.255.0 # 配置网关、子网掩码
(4) 实验结果
Client1 禁止访问 Server1
| acl 2000 配置前 | acl 2000 配置后 |
|---|---|
 |
 |
Client2 禁止访问 HttpServer
acl 3000 配置前
| Server1 HttpClient 配置 | Server1 FtpClient 配置 |
|---|---|
 |
 |
| Client2 httpServer 状态 | Client2 ftpServer 状态 |
 |
 |
acl 3000 配置后
| Client2 httpServer 状态 | Client2 ftpServer 状态 |
|---|---|
 |
 |
二、NAT 网络地址翻译
1. IP 地址
私网地址:全球不可达
10.0.0.0 ~ 10.255.255.255
172.16.0.0 ~ 172.16.31.255
192.168.0.0 ~ 192.168.255.255
公网地址:群球可达(向IANA组织购买)
内网:用私网地址搭建的网络
2. 作用
可以将私网地址与公网地址相互转化
3. 过程
从内网到外网:数据包的源IP由私网IP转换成公网IP
从外网到内网:数据包的目的IP由公网IP转换成私网IP
4. 静态NAT
手动将一个私有地址和公有地址进行关联,一 一对应,缺点和静态路由一样
5. NAT PT 端口映射
NAT Server:内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
6. Easy-IP
使用ACL列表匹配私网的ip地址
将所有的私网地址映射成路由器当前接口的公网地址
