ACL和NAT
ACL:access、list访问控制列表
ACL两种应用:
- 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
- 应用在路由协议-------匹配相应的路由条目( )
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理
基本ACL:编号2000-2999—依据数据包当中的源IP地址匹配数据(数据是从哪个IP地址过来的)
高级ACL:编号3000-3999—依据数据包当中的源、目的IP地址,源、目的端口、协议号匹配数据
二层ACL:编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
- 一个接口的同一个方向,只能调用一个acl
- 一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
- 数据包一旦被某rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT:网络地址翻译
一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
静态NAT原理
- 静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射
- 支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址
动态NAT原理
- 动态NAT:静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
- 当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”。
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
原理:
- 静态映射的NAT-PT机制
静态映射的NAT-PT机制是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换
- 动态映射的NAT-PT机制
和静态映射不同,动态映射没有IPv6和IPv4地址之间的一一对应关系。动态映射要求先创建一个地址池,然后根据需要从地址池中选取空闲地址来完成IPv6地址与IPv4地址的映射
- NAPT-PT机制
NAPT-PT(Network Address Port Translation-Protocol Translation,附带协议转换的网络地址端口转换)是在IP地址动态转换的基础上对TCP、UDP的端口号也进行IPv6到IPv4的转换,
采用这种“地址+端口号”的映射方式,不同的IPv6地址转换时,可以对应同一个IPv4地址,通过端口号来区分不同的IPv6主机,从而使多个IPv6主机能共享一个IPv4地址完成转换
EASY-IP:网络IP地址隐藏工具
- 使用列表匹配私网的ip地址
- 将所有的私网地址映射成路由器当前接口的公网地址
- 优点
处理地址重叠
增强灵活性
安全性
- 缺点
延迟增大
配置和维护的复杂性
不支持某些应用,可以通过静态NAT映射来避免
ACL作用:
- 可以限制网络流量、提高网络性能
- 提供对通信流量的控制手段
- 提供网络安全访问的基本手段
- 可以在路由器端口处决定哪种类型的通信流量被转发或被堵塞
ACL优点:
可以有效地控制用户对网络的访问,从而最大程度地保障 网络安全
NAT作用:
NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机
NAT优点:
- 节省公有合法IP地址
- 处理地址重叠
- 增强灵活性
- 安全性
