ACL访问控制列表和NAT网络地址转换
ACL(访问控制列表)
作用:通过过滤经过接口的数据包,根据规则要么放通,要么丢弃
通信四元素:源IP地址、目的IP地址、源端口、目的端口
通信五元素:源IP地址、目的IP地址、源端口、目的端口、协议
ACL访问过程
ACL在接口上定义N条规则过滤数据包,要么放行要么丢弃
匹配规则,从上往下依次匹配,匹配即停止
工作原理
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理
ACL的种类
基本ACL:(2000~2999)只匹配源IP(尽量用在靠近目的点)
高级ACL:(3000~3999)可根据协议,源IP,目的IP,源端口,目的端口进行匹配(尽量用在靠近源的地方(可以保护带宽和其他资源))
二层ACL:(4000~4999)可根据源MAC,目的MAC,二层协议匹配(了解即可)
ACL的匹配原则
1.一个接口的同一个方向,只能调用一个ACL
2.一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.(华为设备)默认隐含放通所有
实验
先将主机的IP设置完成
配置路由器AR1
然后设置acl
PC1pingPC3
第二问跟第三问可以设置同一个outbound所以可以一起设置
1.acl 3001
2.rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
3.rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
4.rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
5.int g0/0/1
6.traffic-filter outbound acl 3001
PC3ping192.168.3.1
Client1访问WEB服务器的www服务成功
NAT(路由地址转换)
NART的工作原理和功能
NAT的工作原理:
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT功能:
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能.
2.安全防护: NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行
portscan (端口扫描)的时候,就侦测不到源Client端的PC
优点:节省公有合法IP地址、 处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
NAT的概述
NAT的类型
静态NAT(Static Translation):私网IP和公网IP是一对一的关系,并且需要一对一绑定
动态NAT(Dynamic Translation):私网IP和公网IP是一对一的关系,需要定义公网IP地址池,私网转换时会轮询地址池里的每个IP地址
端口多路复用(Port Address Translation,PAT):私网IP和公网IP是多对一的关系,公网IP地址池中只定义一个公网IP,私网IP只对应一个自定义的公网IP
1.静态PAT(NAPT、Easy IP):私网IP和公网IP是多对一的关系,直接使用路由器外网接口的IP,私网IP只对应路由器外网接口的公网IP
2.动态PAT(Nat server):一个公网IP和不同的端口可以对应不同的私网IP和端口
实验
静态NAT:
< Huawei>sys 切换到系统视图模式
[Huawei]sys R1 设置路由器名为R1
[R1]undo info-center enable 关闭华为中心提示信息
[R1]int g0/0/0 进入g0/0/0端口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 添加IP
[R1]int g0/0/1 进入g0/0/0端口
[R1-GigabitEthernet0/0/1]ip address 12.0.0.254 24 给接口添加IP
[R1]nat static global 12.0.0.100 inside 192.168.1.2 设置与内网地址映射的外网地址
[R1]int g0/0/1 外网口
[R1-GigabitEthernet0/0/1]nat static enable 启动nat static enable 功能
动态NAT:
多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1、配置外部网口和内部网口的IP地址
2、定义合法IP地址池
[R1] nat address-group 1 212.0.0.100 新建一个名为1的nat地址池
[R]acl 创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/1 外网口1
[R1- GigabitEthernet0/0/ 1]nat outbound 2000 address-group 1 no-pat
将ACL 2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端C 1转换, 只做IP地址转换,默认为pat )
查看动态设置
Easy ID:直接用外接口的公网IP地址做映射的NAPT
[R1]int g0/0/0 进入g0/0/0端口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 给接口添加IP地址
[R1-GigabitEthernet0/0/0]int g0/0/1 进入g0/0/0端口
[R1-GigabitEthernet0/0/1]ip address 12.0.0.254 24 给接口添加IP地址
[R1]acl 3000
[R1-acl-adv-3000]rule permit ip source any 允许所有源地址的数据都能通过
[R1-acl-basic-2000]int g0/0/1 外网口
[R1-GigabitEthernet0/0/1]nat outbound 3000
当acl3000匹配的源IP数据到达此接口时, 转换为该接口的IP地址做为源地址
NAT Server:
[R1]int g0/0/0 进入g0/0/0端口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 给接口添加IP
[R1-GigabitEthernet0/0/0]int g0/0/1 进入g0/0/0端口
[R1-GigabitEthernet0/0/1]ip address 12.0.0.254 24 给接口添加IP
3214
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
