ACL 和 NAT(配eNSP实验模拟)

最新推荐文章于 2025-03-27 21:39:26 发布
最新推荐文章于 2025-03-27 21:39:26 发布
阅读量1.4k 收藏 9
点赞数 22
分类专栏: 计算机网络基础 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77178063/article/details/144650286
版权

目录

一:ACL(访问控制列表)

1.什么是ACL(访问控制列表)

2.ACL概述和应用

3.ACL工作原理:

4.ACL种类

5.ACL组成和规则​

6.ACL的匹配位置。

7.acl实例模拟

二.NAT(网络地址转换)

1.NAT工作原理如下:​

2.NAT技术转换流程如下:​

3.静态NAT案例分析

1.动态NAT:

4.Easy-IP

5.NATPT(端口映射)

6.总结:​

一:ACL(访问控制列表)

1.什么是ACL(访问控制列表)

ACL 是访问控制列表(Access Control List)的英文缩写,它是一种基于包过滤的访问控制技术,被广泛应用于路由器和三层交换机等网络设中。

2.ACL概述和应用

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具,能够对报文进行匹配和区分。

ACL应用:

  1. 应用在接口的ACL-----过滤数据包(原目ip地址)|在Traffic-filter中被调用

  2. 应用在路由协议-------匹配相应的路由条目|在NAT(Network Address Translation)中被调用

3.ACL工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理(拒绝、接收)。

4.ACL种类

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据是从 哪个IP地址 过来的)

  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据

  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

5.ACL组成和规则

1.建立表格 如果已有不需要
acl number 2000  //表示创建一个编号为2000的acl表格
注意:基本acl  2000-2999     高级acl   3000-3999

2.添加相应的规则:rule  编号 处理动作 ip或网段  通配符掩码
rule 5  permit | deny //rule 5:第五条规则,Rule规则编号每一条规则都有一个相对应的编号  默认步长为5,方便后续在旧规则之前插入新的规则。 

处理动作permit | deny:接收,拒绝
ACL的匹配机制:从上而下一次匹配,优先选择第一次遇到的规则:列如第一条是允许通过192.168.1.0段的ip地址,第二条是不允许通过源ip192.168.1.1的地址,结果是1.1这个地址还是通过了,因为1.0段包含了1.1,且1.0段的规则是在1.1的前面的。
source 192.168.1.1 //匹配项(ip地址(源IP、目的IP),mac地址:源ip  注意没有目的MAC地址,因为如果不是目标MAC根本就不需要做判断是通过还是拒绝)

rule 5  permit  source 192.168.1.1 通配符掩码(用来控制匹配的范围)   //
通配符掩码:  192.168.1.0/24     通配符掩码为:0.0.0.255
解释:ip地址可变的位为1,不可变的位为0,就是如果变了是否影响这个原本的ip地址,不影响便是可变的,影响便是不可以改变的。
3 进入接口  调用规则 inboud  outboud
 192.168.2.2   表示单个地址的话:0.0.0.0  
 通配符掩码:0.0.0.255      c类地址
           0.0.255.255    B类地址
           0.255.255.225  A类地址
           
192.168.1.0/24      只允许192.168.1.1----192.168.1.7之间的ip地址通过
                   0.0.0.0000 0111-----7-----192.168.1.7
                   因为有0有1就写1   0.0.0.7就是表示1-7之间的通配符掩码
                   
192.168.1.0/24  所有的偶数地址
0.0.0.1111 1110  通配符 0.0.0.254  只要保证最后一位为0不可变就可以了
192.168.1.0/24  所有的奇数地址
0.0.0.1111 1110  通配符 0.0.0.254  只要保证最后一位为1不可变就可以了

BUG:
表示 1-63 的192.168.1.0/24网段 的通配符掩码 :0.0.0.63
在63的基础上加一位表示64的话,因为前面有数字有1有0就表示1,结果为0.0.0.0111 1111
通配符掩码即为:0.0.0.127
所以如果相要表示0-64的通配符掩码写0.0.0.127会比在63的基础上多出64个地址, 解决办法是写一段0-63的通配符掩码,单独写一段64的通配符掩码。     
练习
10.1.11.0   0.0.254.255   
以下哪些地址符合上面的条件
10.1.1.4
10.1.2.4
10.1.5.4
10.1.9.4
答案:除了第三位是偶数的其他都是,由题可得表示所有奇数。
子网掩码   必须是连续的1
反掩码      必须是连续的0
通配符掩码    0和1可以不连续
高级ACL
acl number 3000  建立编号为3000的acl表格
rule 10  deny tcp source 192.168.1.1  0 destination 192.168.1.0  0.0.0.255  destination-port  eq www
解释:第10条规则拒绝192.168.1.1的ip访问192.168.1.0网段的所有设备的tcp:80端口

6.ACL的匹配位置。

7.acl实例模拟

1.设置C1和server1的IP地址、掩码和网关

2.基本ACL:尽量用在靠近目的ip的端口

#
 acl number 2000    //建立编号为2000的基本acl
 rule 5 deny source 192.168.1.1 0  //设置初始步长为5 拒绝源通过 ip192.168.1.1这个地址
#
 interface GigabitEthernet0/0/1  //进入到g0/0/1接口
 ip address 192.168.2.254 255.255.255.0   //设置ip地址 和掩码
 traffic-filter outbound acl 2000   //将acl 2000应用于出口位置
#

3.结果使用C1去ping发现被拒绝了   

 结论:拒绝192.168.1.1访问server1

(2)1.配置C2的ip和掩码

2. 配置AR1建立高级ACL表格

 #
 sysname AR1  //重命名
 #
acl number 3000  //建立高级编号为3000的acl表
 rule 5 deny tcp source 192.168.1.2 0 destination 192.168.2.1 0 destination-port  eq www    //第五条规则的作用是阻断从源 IP 地址 192.168.1.2 发往目标 IP 地址 192.168.2.1 的、目标端口为 HTTP 服务相关端口( 80 端口)的 TCP 流量。
#
 interface GigabitEthernet0/0/0  //进入g0/0/0接口
 ip address 192.168.1.254 255.255.255.0  //配置ip地址和掩码
 traffic-filter inbound acl 3000  //应用于进口端口中
#

3.获取失败

 结论:结果看到Client2获取失败,表示被拒绝访问成功了。基本acl需要调用在离目的设备最进的接口上。高级acl用于在靠近源ip设备的接口上(可以保护带宽和其他资源)

二.NAT(网络地址转换)

1.NAT技术主要用于实习内部网络的主机访问外部网络。一方面NAT缓解了IPV4地址短缺的问题,

2.一方面nat技术让外网无法直接与使用私有地址的内网进行通信,提升内网的安全性

公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址

私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的ip地址

A类私有地址:10.0.0.0~10.255.255.255

B类私有地址:172.16.0.0~172.31.255.255

C类私有地址:192.168.0.0~192.168.255.255

1.NAT工作原理如下:

2.NAT技术转换流程如下:

3.静态NAT案例分析

3.1 配置企业出口路由器:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys qyck
[qyck]interface GigabitEthernet0/0/1   //进入g0/0/1端口
[qyck-GigabitEthernet0/0/1]  ip address 200.1.1.1 255.255.255.0   //设置ip地址和掩码
[qyck-GigabitEthernet0/0/1]nat static enable //开启静态nat
 nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255  
//表示静态NAT配置将私网地址192.168.1.1转为公网地址200.1.1.100
#
return
[qyck-GigabitEthernet0/0/1]nat static enable //开启静态nat
[qyck-GigabitEthernet0/0/1]nat static global 200.1.1.101 inside 192.168.1.2
//表示静态NAT配置将私网地址192.168.1.2转为公网地址200.1.1.101
[qyck-GigabitEthernet0/0/1]dis th  //显示配置信息
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 255.255.255.0 
 nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
 nat static global 200.1.1.101 inside 192.168.1.2 netmask 255.255.255.255
 nat static enable
#
return

3.2 pc1结果:

 

3.3利用pc1端:ping200.1.1.2产生流量,使用抓包可以清晰的看出数据包ip变化

(1)抓包:g0/0/1接口

(2)抓包:g0/0/0接口

结论:静态NAT是和公网地址 一 一 对应关系(dis nat static ),注意不能使用出口的接口地址作为公网地址。

1.动态NAT:
nat address-group 1 200.1.1.10  200.1.1.20  //建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#第五条规则允许通过源ip为192.168.1.0网段的所有ip地址

int g0/0/1 //进入接口
nat outbound 2000 address-group 1 no-pat
#运用在网络地址出站的接口上 运用编号为2000acl,使用地址池编号为1的地址池,不使用端口地址转换

 1.1从图可以看出:每次从地址池拿出使用的公网ip是不一样的。

4.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

acl 2000  //建立编号2000的acl表
rule permit source 192.168.1.0 0.0.0.255 //允许通过源ip 192.168.1.0网段的所有地址通过
int g0/0/1 //进入g0/0/1接口
nat outbound 2000  //应用在出站接口使用编号为2000acl

 3.使用pc2

 4.结果如下

结论:建立一个acl规则,应用于在出站的接口就可以实现私网地址映射成公网地址。

5.NATPT(端口映射)

NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

5.1实例图

配置内网服务器:  

配置企业出口路由器:

[qyck]int g0/0/1  //进入g0/0/1接口
#
[qyck-GigabitEthernet0/0/1] ip address 200.1.1.1 24 
//配置接口ip地址和掩码
[qyck-GigabitEthernet0/0/1]  nat server protocol tcp global current-interface www  inside 192.168.1.100 www
//启用natserver  将当前端口的公网地址的80端口和内网 192.168.1.100的80 端口做上关联
访问200.1.1.1的80 端口等于 访问 192.168.1.100的80端口
current-interface:当前端口的ip地址
www:80
inside:内网
global:公网
#
[qyck]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
为企业出口路由器做默认路由:所有网段指向运营商

配置运营商:

interface GigabitEthernet0/0/0  //进入g0端口
 ip address 200.1.1.2 255.255.255.0  //设置ip 和掩码
interface GigabitEthernet0/0/1  //进入g1端口
ip address 202.1.1.254 255.255.255.0   //设置ip和掩码

 配置客户端:

启动内网服务器server1:  使用客户端Client1获取数据

 

6.总结:

eNSP下园区网综合实验分步置(5)出口路由、NAT Server、ACL、策略路由、Telnet
m0_51770049的博客
04-23 5319
出口路由、NAT Server、ACL、策略路由、Telnet置。
实验NATACL综合实验
razorx的博客
10-20 8879
NATACL综合实验一、使北京总部PC通过DHCP服务器自动获取IP1、三个交换机的设置,整个实验只有下面这些2、DHCP服务器的设置,整个实验只有下面2步。3、置核心交换机4、给核心交换机连接外网的端口置IP二、让分公司与总部实现全网互通:三、让内网上网访问外网,即设置NAT完善IP、路由置给路由器R3定义 内网接口、外网接口、内部地址池、动态映射设置ACL验证ACL权限设置的其他更精简...
ENSPACLNAT
weixin_59629968的博客
07-19 2399
了解natACL
ACL+NAT综合实验
01-10
在Router 上作NAT并且做一条默认路由指向File Server的IP,要求在Router 上能查看到NAT映射的效果,并且能实现PC 1通过NAT ping 通File Server……
eNSP实验——ACL访问控制列表
最新发布
记录
03-27 1241
ACL(Access Control List)是网络设备(路由器/交换机/防火墙)上用于控制数据流进出的规则集合,类似于ACL就像网络设备的"守门员",通过定义决定哪些数据可以进出(允许Permit),哪些不能(拒绝Deny)规则,实现网络安全管控。
【路由交换技术】ACLNAT综合实验
Limit_23的博客
07-15 1456
作为减缓 IP 地址枯竭的一种过渡方案,NAT 通过地址重用的方法来满足IP 地址的需要,可以在一定程度上缓解 IP 地址空间枯竭的压力。当地址池中地址的数量足够时,可以添加no-pat参数,表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息。1代表地址池的编号,地址池必须是一段连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池转换为其他地址。值得注意的是,公网访问内网服务器的地址应该是NAT转换后的公网地址,而不是内网地址。1. 掌握ACL的设计思路、置方法。
natacl及单臂路由实验ensp
Gjqhs的博客
12-24 713
拓扑: S1: 添加vl10 添加vl20 all:所有 <Huawei>sy Enter system view, return user view with Ctrl+Z. [Huawei]un in e Info: Information center is disabled. [Huawei]int e0/0/2 [Huawei-Ethernet0/0/2]po [Huawei-Ethernet0/0/2]port li [Huawei-Ethern.
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 ACL,过滤具有某种特点的分组。 NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。NAT某种VPN,比如L2TP VPN 或SSL V
ENSP实验Acl nat server
10-20
ENSP实验Acl nat server】是网络模拟平台ENSP(Elastic Network Service Platform)中的一个实践环节,主要涉及网络安全网络地址转换的关键技术。在实际的网络环境中,访问控制列表(Access Control List, ACL)...
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换、acl、dhcp、ospf……)
01-09
综合组网实验网络技术学习中的一个重要环节,它旨在通过模拟真实的网络环境,让学生或工程师掌握网络设备的管理,以及实现不同网络区域间的通信。在这个实验中,主要涉及了多个关键知识点,包括VLAN(虚拟...
ENSP实验ACLNAT Server置详解
通过上述知识点的介绍,我们可以看到该ENSP实验Acl nat server的目的在于提供一个模拟环境,通过实践操作加深对ACLNAT技术以及网络服务置的理解应用。实验涵盖了网络设备的基本置、流量控制、地址转换等核心...
简单ensp实验作业.zip
10-30
P是华为推出的一款强大的网络模拟实训工具,它允许用户在虚拟环境中搭建、测试各种网络设备,从而帮助学习掌握网络技术。 【描述】"简单ensp实验作业" 暗示这是一项相对基础的练习,可能适用于初学者或...
enspnat与高级acl(内附ospf与ssh)
qq_55803921的博客
05-22 3425
文章目录实验要求:第一步 规划拓扑第二步 划分vlan,规划合理的mstp划分vlan置mstp第三步 置ip,置vrrp置ip置vrrp第四步 置ospf第五步 在AR2上nat使全网互通第六步 置ssh,置高级acl达到需求置ssh置高级acl 实验要求: 合理置IP地址 如图规划VLAN信息,PC1/PC2/PC5属于VLAN103,AR1属于VLAN101 需要合理置MSTP,ETH-TRUNK,VRRP使网络达到最佳可用性 置动态路由协议,使全网互通,私有地址不
qq_41304384的博客
03-04 228
符含义文件代表文件名中所有字符 ls te查找以te开头的文件 ls html查找结尾为html的文件?代表文件名中任意一个字符 ls ?.c只找第一个字符任意,后缀为.c的文件 ls a.?只找只有3个字符,前2字符为a.,最后一个字符任意的文件 [][”“]”将字符组括起来,表示可以匹字符组中的任意一个。“-”用于表示字符范围。 [abc]匹a、b、c中的任意一个[a-f]匹从a到...
华为eNSP命令
2303_77485198的博客
07-17 1万+
ip ip-prefix local index 10 permit 200.1.1.0 24 greater-equal 32 less-equal 24 (建立 ip-prefix规则 名字为local 第10条 允许 ip为200.1.1.1 子网掩码在 24-32 长度内的)confederation peer-as { as-number-plain | as-number-dot } &<1-32> (指定属于同一个联盟的子AS号)
ensp基础命令!
weixin_55496718的博客
04-27 1万+
文章目录ENSP命令小结(一)console置模式置密码(二) telnet:设置telnet(远程)置(三)置aaa登录验证(四)基本命令:(五)交换机基本命令:STP协议命令(六、路由器基本置命令)VRRP命令:ACL置命令:NAT置命令:DHCP置命令:RIP协议置命令:OSPF协议置命令BGP协议置命令 ENSP命令小结 (一)console置模式置密码 user-interface console 0 : 进入console置界面。 aut
ensp基本ACL
jjc321506301915的博客
03-30 6020
#作业七:# ##实验一:基本ACL实验环境 实验思路 1.规划并置IP 2.动态置 3.设置基本ACL 4.检查置结果 具体实施 实验总结 实验环境 实验思路 规划并置IP 动态置 设置基本ACL 检查置结果 具体实施 规划并置IP R1: [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 10.1.12.1 24 [R1-GigabitEthernet0/0/0]int lo 0 [R1-Loop
enspnat实验
wiyuxx的博客
06-14 2322
在创建过程中,需要指定规则的名称、源地址(内部网络IP地址段)、目标地址(外部网络IP地址或地址池)、服务类型(如TCP、UDP等)以及转换类型(如源地址转换、目的地址转换等)。NAT将内部私有IP地址转换为公有IP地址,使得内部网络可以访问外部网络,同时外部网络无法直接访问内部网络。通过合理的规划置,可以实现内部网络与外部网络的通信,同时提高网络的安全性稳定性。在置时,需要指定外部网络的访问IP地址端口号,以及内部网络的目标IP地址端口号。在NAT规则时,需要注意规则的优先级。
全网最用心(没有之一)置【ACL NAT实验
2301_77827185的博客
11-22 1928
ACLNAT 上一篇置了OSPF路由重分发这一篇置了ACLNAT下一篇置AP本地转发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值