ACL 和NAT

最新推荐文章于 2023-12-25 13:58:26 发布
最新推荐文章于 2023-12-25 13:58:26 发布
阅读量751 收藏 1
点赞数 2
文章标签: 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_S_J_112/article/details/125873939
版权

ACL 和NAT

ACL

ACL概念

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过

技术背景:需要一个工具,实现流量过滤
在这里插入图片描述

ACL应用

  1. 应用在接口的ACL——过滤数据包(原目IP地址,原目mac,端口)
  2. 应用在路由协议——匹配相应的路由条目
  3. NAT、IPSEC VPN、QOS——匹配感兴趣的数据流(匹配上我设置的数据流)

ACL工作原理:

ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。

ACL的组成

在这里插入图片描述

ACL的种类

  • 编号2000~2999(基本ACL)——依据数据包当中的源IP地址匹配数据
  • 编号3000~3999(高级ACL)——依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000~4999——二层ACL,MAC、VLAN-id、802.1q

基本ACL与高级ACL的命令格式:

  • acl 2000 #基本acl 列表(建立acl 2调用acl)
  • rule 5 permit/deny source 匹配的条件(ip地址) 通配符掩码 #默认编号5 拒绝 来自192.168.1.1 的流量
  • int g0/0/1
  • traffic-filter outbound acl 2000#数据流向在接口下调用acl 分为两个方向
  • inbound方向--------当接口收到数据包时执行ACL
  • outbound方向-------当设备从特定接口向外发送数据时执行ACL

(没有被acl匹配数据默认采用permit动作;
基本acl需要调用在离目的设备最近的接口上)

高级 acl:

  • acl number 3000
  • rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
  • [R1]int g0/0/0
  • [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

通配符掩码:
可以“0”,可以“1”
通配符“1”对应位可变,“0”对应位不变(与地址是否变化有关,变的位记作“1”,不变的位记作“0”)

实验操作

要求:192.168.1.1/24不能访问192.168.2.1/24
在这里插入图片描述
基本ACL:
配置路由R2
在这里插入图片描述
在这里插入图片描述
高级ACL:
配置路由R2
在这里插入图片描述
在这里插入图片描述

NAT

什么时NAT:

NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术,由于实现简单,得到了广泛应用。

NAT工作机制

一个数据包从企业内部网去往公网时,路由器将数据包当中的源IP(私有地址),翻译成公网地址

在这里插入图片描述
设:192.168.1.1 位公司的内网地址, 去访问外网服务器(200.0.0.1)

源地址:192.168.1.1 目的地址:200.0.0.1

经过路由器NAT技术处理

源地址变为:200.0.0.1 目的地址:200.0.0.1

回包时:
源地址:200.0.0.1 目的地址:201.0.0.1

经过路由器NAT技术处理

源地址:200.0.0.1 目的地址:192.168.1.1

静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样

实验

在这里插入图片描述
1、PC1 ping 200.1.1.2 (不通)
在这里插入图片描述

2、配置企业出口:

在这里插入图片描述

3、PC1 ping 200.1.1.2 (通)
在这里插入图片描述

端口映射技术(NATPT)

在这里插入图片描述
配置企业出口(端口200.1.1.2)
在这里插入图片描述
http服务:
在这里插入图片描述

Easy-IP

1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
在这里插入图片描述

阿杰112
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H3C-acl-nat
weixin_58659466的博客
07-29 1395
ACLNAT
h3c使用acl控制ftp访问_华三:H3C实验手册入门篇(系列教程)之NAT
weixin_42360467的博客
01-05 567
NAT一、 实验拓扑二、 实验要求如下图所示,一个公司通过h3c 路由器的地址转换功能连接到广域网。要求该公司能够通过h3c 路由器s 1/0 访问internet,公司内部对外提供www、ftp 和smtp 服务,而且提供两台www 的服务器。公司内部网址为10.110.0.0/16。其中,内部ftp 服务器地址为10.110.10.1,内部www 服务器1 地址为10.110.10.2,内部w...
华为设备ACLNAT技术
weixin_30655219的博客
07-08 585
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的...
企业实用的NAT+ACL,网工必备的技术
Bert_Wang的博客
07-29 466
一、网络地址转换(NAT,Network Address Translation) 属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 静态转换是指将内部网络的私有I
H3C nat acl
qq_38967534的博客
06-03 506
nat地址转换 int lo0 ip add 8.8.8.8 24 在链接外网的网关配置缺省路由下一跳为运营商ip地址 出接口in g0/1配置nat outbound,自动转换地址 nat调试命令: display nat session terminal debugging terminal monitor debugging nat event debugging nat packet 先配置后ping nat配置特定的公网地址,在网关路由器建立地址池 nat address-group 1 add
ACLNAT综合应用说明文档.pkt
01-01
常见的访问控制列表种类有:IP标准ACL、IP扩展ACL、IPX 标准ACL、IPX 扩展ACL、48 位MAC 地址ACL 和协议ACL 等等。IP相关的访问控制列表主要分为以下几类: ⑴ 标准IP访问控制列表 标准IP访问控制列表匹配IP包中的...
贵州大学网络实用技术实验三 ACLNAT配置
12-03
贵州大学网络实用技术实验三 ACLNAT配置,在学长文档的基础上改进的
NATACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。...假设ACLNAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
【HICA实验09】ACLNAT.paper
10-08
【HICA实验09】ACLNAT.paper
Nat+acl Nat+acl
最新发布
03-29
Nat+acl
HCL实验:三种ACL配置
计算机
04-06 7709
ACL(访问控制列表)可以设置规则来过滤路由。有三种acl,分别为:基本acl(2000 - 2999)、高级acl(3000 - 3999)和二层acl(4000 - 4999)。
ACL访问控制列表
qq_45510720的博客
08-06 4003
1、ACL的定义: 它是路由器和交换机(三层)接口的指令列表(通过接口控制你的流量),用来控制端口进出的数据包。 2、ACL的分类和区别: 根据它使用的列表的列表号,按照表号的不同,将他分为两类: 第一类:编号范围:2000-2999,基本ACL(标准ACL)。 区别:它是基于源IP地址进行过滤。 第二类:编号范围:3000-3999,高级ACL(扩展ACL) 区别:它是基于源和目的IP地址、源和目的端口(TCP/UDP)、协议类型来进行过滤的。对应于层端口的控制方式,用得比较广泛。 3、ACL
ACL详解
weixin_60917414的博客
03-22 2544
ACL详解,很详细
H3C--ACL配置实践
mr__sheng的博客
12-26 9373
实验目的: 1.掌握ACL的工作原理; 2.会基本ACL的配置; 3.会高级ACL的配置。 实验任务与要求: 1.按照图示配置各个网段的 IP 地址。 2.按照图示采用RIPv2路由协议,实现全网互通。 3.在服务器上配置开启 TELNET 和 FTP 服务。 4.配置 ACL 实现如下效果 (1)采用基本的ACL,让192.168.1.0不能访问192.168.2.0。 (2)采用高级ACL,PC1 可以访问服务器的TELNET服务,但不能访问 FTP 服务。PC2 可.
H3C acl配置举例
qq_20127559的博客
10-16 4217
ACL配置举例
【H3C】基本ACL配置
weixin_44372082的博客
12-25 1669
【代码】【H3C】基本ACL配置。
H3C配置ACL
热门推荐
一份耕耘,一分收获
03-04 1万+
包含ACL基本简介,H3C的ACL配置命令以及配置实例
华为系列设备ACL配置和应用常见问题
永远是少年
07-03 7533
本文主要介绍华为系列设备在配置ACL的时候可能遇到的问题,由于是基于华为eNSP进行的实验,因此可能会与实际装备有所差异,但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学,在阅读本文前,希望您能够对华为系列设备ACL配置和应用有着基本的了解。 ACL,access list,即访问控制列表,从字面上看,可以起到控制访问流量的作用。但是,ACL所做的只不过是按照规则进行流量的匹配,要想真正实现ACL的配置,还需要配合其他的工具,比如traffic filter等等。经过本人实践,发现在ACL配置和
华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
描述一下ACLNAT
06-09
ACL(Access Control List)和NAT(Network Address Translation)都是网络中常用的安全措施,它们的作用和实现方式如下: ACL是一种网络安全技术,它可以限制网络中的流量,只允许特定的流量通过。ACL通常用于过滤网络流量,限制网络中的访问,防止未经授权的访问和攻击。ACL可以通过IP地址、端口号、协议类型等多种方式进行配置,以控制网络流量的传输。ACL可分为标准ACL和扩展ACL两种类型,标准ACL仅检查源IP地址,而扩展ACL可以检查源IP地址、目标IP地址、端口号等更多信息。 NAT是一种网络协议,它可以将私有网络的IP地址转换为公共网络的IP地址,以实现私有网络和公共网络之间的通信。NAT通常用于解决IPv4地址短缺的问题。在NAT中,路由器将私有网络中的IP地址转换为公共网络中的IP地址,并在转换过程中修改IP地址和端口号,从而实现私有网络和公共网络之间的通信。NAT有三种转换方式:静态NAT、动态NAT和PAT(端口地址转换)。 总的来说,ACL用于限制网络流量,控制网络访问,提高网络安全性;而NAT用于解决IPv4地址短缺的问题,在私有网络和公共网络之间实现通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值