ACL和NAT

最新推荐文章于 2024-07-11 08:57:39 发布
最新推荐文章于 2024-07-11 08:57:39 发布
阅读量135 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Personal_Liberty/article/details/131771014
版权

一、ACL
1、什么是ACL

ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
2、ACL的两种应用及匹配机制

应用在端口的ACL,用于过滤数据包。

应用在路由协议,匹配对应的路由协议。

匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效
3、ACL基本种类

2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理

3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。

4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理
4、ACL配置命令

ACL    2000   ## 创建基础ACL

rule   permit(deny)  source   1.1.1.1    ##添加规则允许、拒绝  源IP为1.1.1.1的地址

int g/0/0/1         ##进入要配置的端口

traffic-filter  oubound(inbound)   ACL 2000  ## 在入口或出口调用ACL 2000 的规则
二、ACL实战配置
1、实验目的

同一个局域网中,要求PC1不能访问server而PC2可以访问server。
2、实验工具及机器

工具:eNSP V100R003C00SPC100虚拟器

设备:华为AR220路由器一台、华为HUB一台、华为计算机二台、华为服务器一台。
3、实验拓扑

 

4、实验步骤

首先配置PC1和PC2的IP、掩码以及网关,如下图

配置路由器接口地址并检测PC1、PC2是否都可以访问server。如下图

 

 

在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完毕检测访问结果,如下图可以看出配置完ACL后PC1不能访问server,PC2依然可以server至此实验完毕。

 

 
 

 
 

 
 

 
 

 
 

二、NAT
 1、NAT原理及作用
 

作用:通过对网络地址转换,实现内网地址和公网地址的互相访问
 

原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。
 2、NAT分类
 

静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
 

动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
 3、NAT配置
 

静态nat配置:
 

进入企业出口路由器 static nat enable 开启静态nat
 

nat static global 1.1.1. 1 inside 2.2.2.2将 静态 nat私网地址1.1.1.1对应公网2.2.2.2
 

动态nat配置:
 

nat address-group 1 200.1.1.10 200.1.1.15  #建立动态nat地址池
 

acl number 2000                                             #创建acl  2000
 

rule 5 permit source 192.168.1.0 0.0.0.255    #设定规则来自192.168.1.0网段用户允许通过
 

int g0/0/1                                                          #进入g0/0/1端口
 

nat outbound 2000 address-group 1 no-pat   #将规则添加在出口
 3、EASY-ip实验
 实验目的
 

PC1和PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。
 实验工具及机器
 

工具:eNSP V100R003C00SPC100虚拟器
 

设备:华为AR220路由器2台,(其中一台表示企业路由器生产环境中无法操作,此实验仅做外网访问使用)、华为hub一台、华为计算机二台
 实验拓扑
 

  
 

 

实验步骤
 

1、配置PC1和PC2地址,如下图
 

 

 

2、配置路由器接口地址
 

 

 
 

  3、在企业出口路由器R1上添加ACL规则并在出口上应用nat,以此达到PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。
 

 

 4、查看PC1和PC2是否可以通过nat访问外网,如下图可以ping通实验成功。
 

 

5.通过wireshark抓包查看PC1访问200.1.1.254的地址和端口号是否nat成出口路由器地址200.1.1.1,如下图
 

首先在PC1上进行长ping ,命令为ping  200.1.1.254   -t
 

然后再进入出口路由器使用命令等待查看端口是多少,命令为display nat session all ,可以查看 出源ip是多选,经过nat后的源IP是多少,以及此次连接的端口。端口号是此次PC1用于nat公网地址的标志,外网数据回包时出口路由器也是通过这个端口号判断数据要发给谁。
 

 

 右键出口路由器选择抓包,选择出口,本拓扑为g0/0/1。如下图
 

 
 

 进入wireshark后随机点击一个包查看下方的ICMP协议中的Identifier(LE)后面跟着的就是此次ip转换的内网端口号,由于长ping是一来一回则完成一次连接没有长时间建立连接所以随便点一个包查看是端口号可能不一样。此为实验环境测试导致,若是长时间访问一个网页不关闭则端口号会被长期占用,抓包时端口号就不会改变。
 

 

总结:至此实验完成,在企业中EASY-IP是必须要掌握的技术,希望此文章可以帮助到大家。

                

        

        

    




    

      

        

            

              
                
                  原神登陆广岛
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
ensp 的acl高级配置练习

				
			

			

				

					m0_61979385的博客
				

				

					10-26
					
					3261
					
				

			

		

		

			
				
如上图拓扑:

 因为ensp的pc不支持telnet,故用路由器代替pc

 R1 与 R2 之间的网段为192.168.12.0/24

 R1 下方的网段为 192.168.1.0/24

PC1: 192.168.1.1/24

PC2: 192.168.1.2/24

R1 0/0/0: 192.168.1.254/24

R1 0/0/1:192.168.12.1/24

R2 0/0/0: 192.168.12.2/24

一, 实验要求:

   1.PC1可以te...

			
		

	



                

              
                



	

		

			

				
					
贵州大学网络实用技术实验三 ACLNAT配置

				
			

			

				

					12-03
				

			

		

		

			
				
"贵州大学网络实用技术实验三 ACLNAT配置"  本实验报告主要介绍了 ACL(访问控制列表)和 NAT(网络地址转换)配置在网络实用技术中的应用。实验的目的是为了加深对 ACLNAT 的理解,并掌握使用 CPT 构建网络...

			
		

	



                


  
              

                


	

		

			

				
					
【系统集成】作业——访问控制列表ACL配置

				
			

			

				

					weixin_51338719的博客
				

				

					04-03
					
					1915
					
				

			

		

		

			
				
基本ACL实验,建立拓扑(pc1+pc2)SW1>>R1>>R2>>SW2(pc3),配置缺省路由,使pc1、pc2与pc3能相互通信。设置ACL,使pc1不能访问pc3(pc2可正常访问pc3)。
高级ACL实验,对前期实验公司网络设置的各部门,不允许生产部的电脑ping 公司web服务器,但可以访问网页。
对前期实验公司网络设置的各部门vlan,设置企业财务服务器,只允许财务部门VLAN的电脑访问

			
		

	





	

		

			

				
					
ACL实验

				
			

			

				

					weixin_59031940的博客
				

				

					04-16
					
					90
					
				

			

		

		

			
				
2、配置telnet。

			
		

	



		

			
		



	

		

			

				
					
ACL配置

				
			

			

				

					qq_37719571的博客
				

				

					06-25
					
					1038
					
				

			

		

		

			
				
1.标准ACL配置:
(1)实验拓扑图:
说明:PC1代表经理部的主机,PC2代表销售部门的主机,PC3代表财务部的主机,要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问。
(2)配置:
R0(config)#route ospf 100
R0(config-router)#network 192.168.1.0 0.0.0.255 area 0
R0(config-router)#n...

			
		

	





	

		

			

				
					
ACLNAT

				
			

			

				

					zzzxxx520369的博客
				

				

					12-15
					
					998
					
				

			

		

		

			
				
NAT(Network Address Translator,网络地址转换NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。2.NAT工作机制一个数据包从企业内网去往公网时,路由器将数据包当中的 源私网地址 翻译成 公网地址一个数据包从企业外网去往私网时,路由器将数据包当中 目的公网地址 翻译成目的私网地址NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射。

			
		

	





	

		

			

				
					
ACLNAT

				
			

			

				

					Y_S_J_112的博客
				

				

					07-20
					
					776
					
				

			

		

		

			
				
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过技术背景需要一个工具,实现流量过滤。...

			
		

	





	

		

			

				
					
ACLNAT实验

				
			

			

				

					qq_48107890的博客
				

				

					04-14
					
					1084
					
				

			

		

		

			
				
ACL概述

访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
	ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具;
	ACL除了能够对报文进行匹配,还能够用于匹配路由;
	ACL是一个使用非常广泛的基础性工具,

			
		

	





	

		

			

				
					
ACLNAT综合应用说明文档.pkt

				
			

			

				

					01-01
				

			

		

		

			
				
常见的访问控制列表种类有:IP标准ACL、IP扩展ACL、IPX 标准ACL、IPX 扩展ACL、48 位MAC 地址ACL 和协议ACL 等等。IP相关的访问控制列表主要分为以下几类:  ⑴ 标准IP访问控制列表  标准IP访问控制列表匹配IP包中的...

			
		

	





	

		

			

				
					
NATACL执行顺序测试

				
			

			

				

					05-23
				

			

		

		

			
				
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。...假设ACLNAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。

			
		

	





	

		

			

				
					
【HICA实验09】ACLNAT.paper

				
			

			

				

					10-08
				

			

		

		

			
				
【HICA实验09】ACLNAT.paper

			
		

	





	

		

			

				
					
Nat+acl Nat+acl

				
			

			

				

					03-29
				

			

		

		

			
				
Nat+acl

			
		

	





	

		

			

				
					
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)

					
热门推荐

				
			

			

				

					Snu77的博客
				

				

					07-11
					
					1万+
					
				

			

		

		

			
				
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)

			
		

	





	

		

			

				
					
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决

				
			

			

				

					2401_82916694的博客
				

				

					07-10
					
					642
					
				

			

		

		

			
				
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。

			
		

	





	

		

			

				
					
从零开始做题:logtime

				
			

			

				

					weixin_44626085的博客
				

				

					07-10
					
					242
					
				

			

		

		

			
				
给出1个pcapng文件。

			
		

	





	

		

			

				
					
【观成科技】Websocket协议代理隧道加密流量分析与检测

				
			

			

				

					GCKJ_0824的博客
				

				

					07-10
					
					946
					
				

			

		

		

			
				
Websocket中的掩码加密使用异或(xor)做简单的加密,当MASK字段对应位被设置为 1 时表示加密,那么后续会设置4字节的Masking-key,Mask位设置为 0 时表示不加密,则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点,并与对应的工具流量相结合,从而提出行之有效的检测方法应用于产品当中,能在Websocket流量中准确发现异常,找出相关隧道的搭建和使用痕迹,保障客户网络的安全。Websocket协议代理工具加密流量检测。

			
		

	





	

		

			

				
					
访问控制的定义与原理

					
最新发布

				
			

			

				

					SafePloy_SH的博客
				

				

					07-11
					
					306
					
				

			

		

		

			
				
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。

			
		

	





	

		

			

				
					
windows局域网文件传输方案

				
			

			

				

					aidayei的专栏
				

				

					07-08
					
					307
					
				

			

		

		

			
				
1.共享文件:采用smb协议传输数据,可以直接通过windows资源管理器地址栏中输入ip:\share目录,也可以用windows自带的Robocopy命令拷贝。2.ftp方式:采用ftp协议传输数据,服务端需要有ftp服务器,或者采用sftp或scp方式,需要服务端装open-ssh服务器。4.tcp/udp方式:采用tcp/udp协议传输数据,需要自己编写socket服务端和客户端,传输数据切割和重组等。3.http方式:采用http协议传输数据,服务端需要装python,通过python -m。

			
		

	





	

		

			

				
					
描述一下ACLNAT

				
			

			

				

					06-09
				

			

		

		

			
				
NAT有三种转换方式:静态NAT、动态NAT和PAT(端口地址转换)。  总的来说,ACL用于限制网络流量,控制网络访问,提高网络安全性;而NAT用于解决IPv4地址短缺的问题,在私有网络和公共网络之间实现通信。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值