ACL和NAT

最新推荐文章于 2024-06-19 16:23:13 发布
最新推荐文章于 2024-06-19 16:23:13 发布
阅读量874 收藏 17
点赞数 16
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EsDeath_99/article/details/137012283
版权
本文详细介绍了访问控制列表(AccessControlList,ACL)的原理、不同类型的ACL(基本、高级和二层)以及配置方法,以及网络地址转换(NAT)的概念、工作原理和类型(静态、动态和PAT)。通过实例展示了如何在实际网络环境中运用这些技术来控制流量和保护网络安全。
摘要由CSDN通过智能技术生成

一、ACL

访问控制列表(Access Control List)简称ACL,是应用在路由器接口上的指令列表(规则),用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。ACL通过在路由器接口处控制是转发还是丢弃数据包来过滤通信流量,路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃该数据包,可以通过在路由器或多层交换机上配置ACL来控制对特定网络资源的访问。

1、ACL工作原理

当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理,对路由器而言,ACL有两个方向:

1.出:已经过路由器的处理,正离开路由器接口的数据包

2.入:已到达路由器接口的数据包,将被路由器处理

如果对接口应用了ACL,也就是说该接口应用了一组规则,那么路由器将对数据包应用该组规则进行顺序检查,一共会有三种情况:

第一种,如果匹配第一条规则,则不再往下检查,路由器将决定允许该数据包通过或拒绝通过

第二种,如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配,路由器才决定允许该数据包通过或拒绝通过

第三种,如果没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包

根据检查规则,在ACL中,规则的放置顺序很重要,一旦找到了某种匹配规则,就结束比较过程,不再检查之后的其他规则

2、ACL种类

基本ACL---编号2000-2999---依据数据包当中的源IP地址匹配数据(数据从哪个ip地址过来的)

高级ACL---编号3000-3999---依据数据包当中源ip地址、源目的ip地址,源和目的端口、协议号匹配数据

二层ACL---编号4000-4999---二层ACL、mac、vlan-id、802.1q

3、ACL配置

rule deny/permit sourse ip地址 通配符掩码

rule:添加规则

deny/permit:拒绝或同意

source:源

这里讲下通配符掩码和子网掩码、反掩码的区别:

子网掩码:连续的1表示网络位,不可以0和1穿插,例:

255.255.255.0对应1111 1111.1111 1111.1111 1111.0000 0000

反掩码:连续的0表示网络位,不可以0和1穿插,例:

0.0.0.255对应0000 0000.0000 0000.0000 0000.1111 1111

通配符掩码:1代表此位置可以变化,0代表此位置不可以变化,可以0和1穿插,例:

192.168.1.0对应1100 0000.1010 1000.0000 0001.0000 0000

192.168.1.1对应1100 0000.1010 1000.0000 0001.0000 0001

192.168.1.2对应1100 0000.1010 1000.0000 0001.0000 0010

192.168.1.3对应1100 0000.1010 1000.0000 0001.0000 0011

192.168.1.4对应1100 0000.1010 1000.0000 0001.0000 0100

4、ACL实例

1.基本ACL

基本ACL尽量用在靠近目的点的端口

这里配置好路由器AR1三个端口的IP地址之后,用客户机Client1去ping服务器Server1是可以Ping通的

建立ACL规则的步骤

在接口下调用acl分为两个方向

inbound方向:当接口收到数据包时执行ACL

outbound方向:当设备从特定接口向外发送数据时执行ACL

traffic-filter:流量过滤器

此时再拿客户机Client1去ping服务器Server1就不可以Ping通了

但是用客户机Client1去ping服务器Server2还是可以Ping通的

2.高级ACL

高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)

二、NAT

网络地址转换(Network Address Translation)简称NAT,通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。NAT不仅解决了公网IP地址不足的问题,而且能够隐藏内部网络的细节,避免来自网络外部的攻击,可以起到一定的安全作用。

1.NAT工作原理

静态转换(Static Translation):将内部网络的私有地址转换为公网地址,IP地址的对应关系是一对一的(两个私网地址就对应两个公网地址)

动态转换(Dynamic Translation):所有的私有地址可随即转换为任何指定的合法的外部ip地址,只要指定哪些私有地址可随机转换为任何指定的合法的外部IP地址,设置一个地址池,私网地址从地址池中随机获取公网地址(随机对应)

端口地址转换(Port Address Translation,PAT):改变外出的数据包的源IP地址和源端口,并进行端口转换,即端口地址转换采用端口多路复用方式。内部网络的所有主机均可共享一个合法的外部IP地址来实现互联网的访问,从而可以最大限度地节约公网IP地址资源,同时可以隐藏网络内部的所有主机,以有效地避免来自互联网的攻击。

Easy-IP:使用列表匹配私网的IP地址,将所有的私网地址映射成路由器当前接口的公网地址

EsDeath_99
关注
  • 16
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
贵州大学网络实用技术实验三 ACLNAT配置
12-03
"贵州大学网络实用技术实验三 ACLNAT配置" 本实验报告主要介绍了 ACL(访问控制列表)和 NAT网络地址转换)配置在网络实用技术中的应用。实验的目的是为了加深对 ACLNAT 的理解,并掌握使用 CPT 构建网络...
实验:基于ACL实现与禁止Telnet和Ping命令(HCIA)
kittle_linxi的博客
04-12 1658
ACL拓展实验
ACL
LIULIUAINI66的博客
11-12 550
ACL :Access Control List,访问控制列表 1、作用: 1)实现访问控制 2)抓取感兴趣流量供其他技术调用 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上, 让路由器对收到的流量基于表中规则执行动作–允许、拒绝 2、ACL匹配规则: 至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。 ...
PING公司服务器,用路由器的访问控制列表(ACL),如何实现?
最新发布
笑震湘的博客
06-19 972
Cisco Packet Tracer Student 6.2模拟器上模拟在路由器上配置访问控制列表(ACL)来实现技术部可以访问也可PING WWW服务和FTP服务;而市场部只能访问WWW服务器和FTP服务器,但不能PING WWW服务器和FTP服务器
ACL禁止ping基本配置
m0_64654176的博客
05-02 4405
实验目的: 禁止PC_1访问0.0.1.1 先给端口配置IP地址,配置OSPF(也可以配置动态路由或静态路由都可以),进行全网通信: (关于OSPF的配置方法,可以参考TCP/IP——OSPF单区域实验__Ustinian的博客-CSDN博客) R2: <H3C>sys System View: return to User View with Ctrl+Z. [H3C]sysname R2 [R2]int lo 0 [R2-LoopBack0]ip add 1.1.1..
萌新的acl实验
weixin_52695650的博客
12-16 980
题目 建立拓扑及网段 配置IP地址 R1:interface GigabitEthernet0/0/0 ip address 11.1.1.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 11.1.4.1 255.255.255.0 R2:interface GigabitEthernet0/0/0 ip address 11.1.4.2 255.255.255.0 interface GigabitEthernet0/0/1 ip a
ACL封杀ping命令
weixin_33842328的博客
03-17 4897
实验目的 练习扩展访问列表的配置。 实验拓扑 实验过程 1.配置路由器的基本参数 R1(config)#interface s1/2 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R2(config)#interface serial2...
ACLNAT综合应用说明文档.pkt
01-01
常见的访问控制列表种类有:IP标准ACL、IP扩展ACL、IPX 标准ACL、IPX 扩展ACL、48 位MAC 地址ACL 和协议ACL 等等。IP相关的访问控制列表主要分为以下几类: ⑴ 标准IP访问控制列表 标准IP访问控制列表匹配IP包中的...
NATACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。...假设ACLNAT之前的话,哪么ACL不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
【HICA实验09】ACLNAT.paper
10-08
【HICA实验09】ACLNAT.paper
Nat+acl Nat+acl
03-29
Nat+acl
ACL---访问控制列表配置
wangzhemvp的博客
11-26 555
(3)PC2无法ping通Server1,但是可以访问Server1的网页。(1)使PC1不能访问Server1/2,可以访问PC2。(2)PC2可以访问Server2,不能访问Server1。rule 1000 permit ip //允许所有。rule 1000 permit //允许所有。//允许使用1、2使用TCP访问2、1的80端口。分析:目的ip不同,源ip相同,使用高级ip。流量过滤,允许指定ip进入或不允许进入。
cisco命令防ping_ACL配置禁止PING
weixin_39995439的博客
12-20 2999
从r1过来的数据包送给r2的时候,r2数据链路层解封装之后会查看是否有acl in的acl。如果有的话先检查acl是否放行,如果放行的话再查路由表然后再进行2层的封装。如果不放行的话直接给discrad。我觉得可能是2个问题导致你能ping成功。第一:ping的时候没有指定source。第二:可能是模拟器的问题用小凡试了下并debug看了下结果再r2与r1的in方向和r2连pc的out方向都能达到...
一个关于通过ACL禁用ICMP的实例配置
yytian的专栏
12-06 1万+
一个关于通过ACL禁用ICMP的实例配置拓扑图如下所示:此处的任务是在R2的F0处做ACL完成对ICMP的限制,在些有以下几个实验配置:(1)在R2上做下面ECHO-RELPY的ACL,并应用到F0口上,使用inR2(config)#access-list 110 deny icmp any any echo-replyR2(config)#access-list 110
禁用ping功能(禁用ICMP协议)
weixin_33915554的博客
10-13 3894
禁用ping功能(禁用ICMP协议)
使用扩展ACL封杀PING命令
weixin_34233856的博客
09-17 1522
使用扩展ACL封杀PING命令 实验要求:1、路由器名称为R1、R2,并配置相关的IP地址,保持其连通性。2、做扩展的访问控制列表,禁止R1PING到R2。实验过程:1、配置路由器的基本参数2、验证连通性3、创建ACL注明:扩展ACL的编号范围为100-199。我们需要拒绝的是PING命令,它是属于ICMP协议,所以我们需要拒绝ICMP。用反掩码绝对匹配一个源地址,用反掩码绝...
ACL——拒绝ICMP
热门推荐
杨奇的博客
10-19 1万+
拒绝client1和PC1pingserver1,但允许其HTTP访问 Client1(IP地址) IP地址:192.168.10.1 子网掩码:255.255.255.0 网关:192.168.10.254 PC1(IP地址) IP地址:192.168.10.2 子网掩码:255.255.255.0 网关:192.168.10.254 PC2(IP地址) IP地址:172.16.10.1 ...
描述一下ACLNAT
06-09
ACL(Access Control List)和NAT(Network Address Translation)都是网络中常用的安全措施,它们的作用和实现方式如下: ACL是一种网络安全技术,它可以限制网络中的流量,只允许特定的流量通过。ACL通常用于过滤网络流量,限制网络中的访问,防止未经授权的访问和攻击。ACL可以通过IP地址、端口号、协议类型等多种方式进行配置,以控制网络流量的传输。ACL可分为标准ACL和扩展ACL两种类型,标准ACL仅检查源IP地址,而扩展ACL可以检查源IP地址、目标IP地址、端口号等更多信息。 NAT是一种网络协议,它可以将私有网络的IP地址转换为公共网络的IP地址,以实现私有网络和公共网络之间的通信。NAT通常用于解决IPv4地址短缺的问题。在NAT中,路由器将私有网络中的IP地址转换为公共网络中的IP地址,并在转换过程中修改IP地址和端口号,从而实现私有网络和公共网络之间的通信。NAT有三种转换方式:静态NAT、动态NAT和PAT(端口地址转换)。 总的来说,ACL用于限制网络流量,控制网络访问,提高网络安全性;而NAT用于解决IPv4地址短缺的问题,在私有网络和公共网络之间实现通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值