Always keep a beginner's mind, don't forget the beginner's m|
收藏闪存小组博问

索罗大魔王

园龄:2年6个月粉丝:8关注:2

📂网络
🔖VM交换机路由器网络虚拟机
2022-10-08 22:24阅读: 104评论: 0推荐: 0

ACL和NAT

导图

 

一.ACL

1.ACL概述

ACL: access list 访问控制列表

技术背景:需要一个工具,实现流量过滤



 

2.ACL应用

  • 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
  • 应用在路由协议-------匹配相应的路由条目(网络流量的导向目的地)
  • NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)

3.ACL工作原理

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

4.ACL种类

基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)

  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据

  • 编号4000-4999---二层ACL----MAC、VLAN-id、802.1q

基本ACL格式
acl 2000     #新建表格
rule 5   permit/deny   source 匹配的条件(ip地址)   通配符掩码(用来控制匹配的范围)   #添加条件
rule 5 permit source 192.168.1.0 0.0.0.255  #规则编号  permit(允许)  来自 192.168.1.0网段的流量通过
rule 5 deny   source 192.168.1.0 0.0.0.255  #规则编号  deny(拒绝)    来自 192.168.1.0网段的流量通过

 

 

5.ACL实际操作

复制代码
AR1配置:
配置IP
int g0/0/0
ip address 192.168.1.254 255.255.255.0 
int g0/0/1
ip address 192.168.2.254 255.255.255.0 
int g0/0/2
ip address 192.168.3.254 255.255.255.0

1.建立acl  
acl  2000      #基本acl列表
rule 5 deny source 192.168.1.1 0  #默认编号5  拒绝  来自192.168.1.1 的流量

2.调用acl
int g0/0/1     进入g0/0/1口
traffic-filter outbound acl 2000   #调用acl 2000 (g0/0/1拒绝192.168.1.1向外发送的数据包用outbound)

#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
没有被acl匹配数据默认采用permit动作
基本acl需要调用在离目的设备最近的接口上
复制代码

结果:不能访问192.168.2.1   其他可以正常访问

 

 

6.ACL的应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

7.ACL匹配规则

1.一个接口的同一个方向,只能调用一个acl

2.一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3.数据包一旦被某rule匹配,就不再继续向下匹配

4.用来做数据包访问控制时,默认隐含放过所有(华为设备)

8.总结:ACL可以控制访问流量,以达到安全等目的,配置的时候要注意调用的位置和方向

 

二.NAT (网络地址翻译)

1.静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一 一对应

 

复制代码
企业路由配置
配置好地址:
int g0/0/0
ip address 192.168.1.254 24

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 24


nat static enable   #开启接口上的NAT静态地址转换功能
nat static global 200.0.0.1 inside 192.168.1.1   #把ip192.168.1.1与ip200.0.0.1关联

复制代码
复制代码
[Huawei]dis nat static      #显示NAT静态地址转换的配置信息
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.0.0.1/----
Inside IP/Port : 192.168.1.1/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
复制代码

结果:公网与私网可以通信

 

2.动态NAT 

复制代码
配置动态nat

nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池

acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
复制代码

 

3.NATPT(端口映射)

NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

 

 

4.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

本文作者:索罗

本文链接:https://www.cnblogs.com/suoluo212/p/16710780.html

版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

posted @   索罗大魔王  阅读(104)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示
评论
收藏
关注
推荐
深色
回顶
收起