目录
一.ACL
1.1 ACL介绍
ACL是Access Control List的缩写,即访问控制列表。它是一种用于网络设备和操作系统中的权限管理机制,用于控制对资源的访问权限。ACL通过在特定资源上设置规则和条件来限制哪些实体(用户、组、网络地址等)可以访问该资源以及可以执行哪些操作。
ACL在网络设备中被广泛使用,例如路由器、交换机和防火墙等。在这些设备上,ACL用于过滤网络流量,决定哪些数据包可以通过设备进行转发或阻塞。ACL可以基于源IP地址、目标IP地址、协议类型、端口号等参数进行过滤和控制,从而实现网络访问控制和安全策略的实施。
在操作系统中,ACL用于对文件和目录进行访问权限的管理。传统的文件权限模型通常包括用户(所有者)、所属组和其他用户的权限设置。而ACL提供了更精细的权限控制,可以允许或拒绝特定用户或用户组对文件的读取、写入和执行等操作。这使得管理员可以根据需要灵活地设置文件和目录的访问权限,实现更细粒度的安全控制。
ACL的作用是保护网络和系统资源免受未授权访问和滥用。通过正确配置ACL规则,可以限制用户和网络流量的权限,防止未经授权的用户访问敏感数据、执行恶意操作或导致网络拥塞。ACL还有助于满足合规性要求,确保只有经过授权的实体可以访问和操作受保护的资源。
总之,ACL是一种重要的访问控制机制,用于管理网络设备和操作系统中的权限。它提供了一种灵活而精细的方式来控制资源的访问,以增强安全性并满足各种安全策略和合规性要求。
1.2 ACL作用
ACL两种应用:
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
应用在路由协议-------匹配相应的路由条目
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
1.3 ACL工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
1.4 ACL的种类
1.编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
2.编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配
3.数据编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
1.5 ACL实操
1.5.1 实验准备和要求
1.5.2 配置过程
1.5.3 实验结果
二. NAT
2.1 NAT介绍
NAT(Network Address Translation,网络地址转换)是一种常用的网络技术,用于在不同网络之间转换IP地址。
在传统的网络架构中,每个设备都需要具有一个唯一的公网IP地址才能与互联网进行通信。然而,由于IPv4地址空间有限,公网IP地址变得非常稀缺。为了解决这个问题,引入了NAT技术。
NAT技术的基本原理是在网络边界设备(如路由器或防火墙)上维护一个转换表,用于记录内部网络(私有网络)中的设备与外部网络(公共网络,如互联网)之间的映射关系。当内部网络中的设备要访问外部网络时,源IP地址会被替换为路由器的公网IP地址,然后将请求发送到外部网络。当外部网络返回响应时,路由器会根据转换表将响应转发给正确的内部设备。
NAT技术有几种常见的实现方式:
静态NAT(Static NAT):一对一的IP地址映射,将内部设备的私有IP地址映射到唯一的公网IP地址。
动态NAT(Dynamic NAT):多对多的IP地址映射,将内部设备的私有IP地址映射到一个动态分配的公网IP地址池中的任意一个IP地址。
PAT(Port Address Translation)或NAPT(Network Address and Port Translation):使用端口号来实现多对多的IP地址映射。内部设备的私有IP地址映射到一个公网IP地址上,而端口号则用于区分不同的内部设备。
2.2 NAT的工作原理
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
2.3 NAT技术的优缺点
NAT技术的优点包括:
- 节约公网IP地址资源,因为它允许多个内部设备共享一个公网IP地址。
- 提供了一定程度的网络安全性,因为内部网络的IP地址对外部网络是隐藏的,增加了外部网络对内部网络的访问难度。
- 简化了网络配置和管理,尤其在大规模网络中。
然而,NAT技术也有一些限制和注意事项:
- NAT会引入一定的网络延迟,因为路由器需要对IP地址进行转换。
- 一些应用程序可能对NAT不友好,特别是涉及IP地址信息的应用,如IP电话、实时视频等。
- 对于需要从外部网络访问内部网络的应用,需要进行端口映射或配置特殊规则。
- IPv6已经提供了更大的地址空间,减少了对NAT的依赖,但IPv4仍然广泛使用,因此NAT仍然是一个重要的网络技术。