云计算!ACL和NAT协议
一、ACL
1.ACL技术背景
在我们日常的网络应用中,需要一个工具,用以允许限制某些网关的访问。
ACL应运而生。
2.ACL概述
ACL,即访问控制列表,由一系列permit和deny语句组成,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
ACL本身只能够用于报文的匹配区分,而无法实现报文的过滤。过于需要通过traffic-filter名来来进行,ACL只是匹配工具。
ACL是一个使用广泛的基础性工具,可以被各种应用命令调用(例如NAT)。
3.ACL的应用
ACL在组网中由多种应用,但是常用的有以下三种:
匹配IP流量(可基于源,目的IP地址,协议类型,端口号等)
在traffic-filter中被调用
在NAT中被调用
4. ACL的分类
ACL协议主要分为4类:
BASIC ACL(数字标识范围2000-2999)
主要对源IP地址进行匹配
ADVANCED ACL(数字标识范围3000-3999)
能够对源IP地址,目标IP地址,源端口,目标端口,协议等进行匹配,更为精准。
二层ACL(数字标识范围4000-4999)
自定义ACL(数字标识范围5000-5999)
5.ACL的匹配
从上到下依次匹配,如果匹配不到,则丢弃。
6.wildcard(通配符)
通配符是一个32比特长度的数值,用于指示IP地址中,那些比特位需要严格匹配(0),那些比特位则不需要(1)。
通配符采用类似网络掩码的点分十进制表示,但是含义完全不同。
0:表示需匹配
1:表示不需要
特殊wildcard
192.168.1.1 0.0.0.0 =192.168.1.1 0 //精准匹配192.168.1.1这个IP
0.0.0.0 255.255.255.255=any //匹配所有IP
wildcard示例
例如:匹配192.168.1.0/24这个子网中最后一个8位为基数的IP地址,例如192.168.1.1、192.168.1.3、192.168.1.5等。
图示得出
wildcard为:192.168.1.0 0.0.0.254
将最后一个点分十进制转化为二进制,得出最后一位一直为1,需要精准匹配,因此最后一位转化出点分十进制为.254。
7.ACL的配置
使用编号创建一个基本ACL,并进入视图:
[huawei]acl num
[huawei-acl-basic-num]
基本ACL编号范围为2000-2999
创建一个规则
[huawei-acl-basic-num]rule 5 {permit/deny}source src-address wildcard
二、NAT
1、NAT产生背景
1.IPV4地址已将耗尽;
2.局域网用户普遍使用私有IPV4地址,访问公网会产生问题;
3.局域网中使用私有IPV4地址的服务器无法对公网进行服务;
4.如果需要对外隐藏内网IP,同时内网特定服务器有需要对外提供服务。
2、公网、私网地址释义
公网地址:可以在INTERNET上使用的地址。为了保证唯一性,统一分配。如果需要使用,必须申请。
私有地址:为了满足,实验室、公司或者其他组织有独立于INTERNET之外的私网需求,留出的3个IP地址段。不需要申请,无法在网络上被分配。
3、NAT概述
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT的主要原理是通过解析IP报文头部,自动替换报文头部的源地址或目的地址,实现死亡用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对于用户来说是透明的。
4、NAT的优劣势
图示为NAT的优缺点。
5、NAT的类型
NAT的类型主要有以下几种:
静态NAT:
静态NAT实现了私有地址和公有地址的一对一映射。
一个公网IP只会分配给唯一且固定的内网主机。
但是这个静态NAT无法节省IPV4,只能通过手动设置。
动态NAT:
动态NAT是基于地址池来实现私有地址和公有地址的转换。
是多对多的模式
NAPT:
网路地址端口转换NAPT允许多个内部地址映射到同一公有地址的不同端口。
EASY IP:
EASY IP允许将多个内部地址映射到网管出接口地址上的不同端口。
NAT服务器
通过配置NAT服务器,可以使外网用户访问内网服务器。