ACL和NAT介绍及EASY-IP原理实验

于 2023-04-25 16:48:04 发布
阅读量657 收藏 7
点赞数 4
文章标签: tcp/ip 网络 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhang110_/article/details/130365834
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、ACL概述

1.ACL是什么

ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。

2.ACL的两种应用及匹配机制

①应用在端口的ACL,用于过滤数据包。

②应用在路由协议,匹配对应的路由协议。

匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效

3.ACL的种类

2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理

3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。

4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理

4.ACL的命令

1.ACL 2000 ## 创建基础ACL

2.rule permit(deny) source 1.1.1.1 ##添加规则允许、拒绝 源IP为1.1.1.1的地址

3.int g/0/0/1 ##进入要配置的端口

4.traffic-filter oubound(inbound) ACL 2000 ## 在入口或出口调用ACL 2000 的规则

二、ACL的实战配置

实验目的:同一个局域网中,要求PC1不能访问server而PC2可以访问server。
在这里插入图片描述
第一步、配置PC1和PC2的IP、掩码以及网关
在这里插入图片描述
在这里插入图片描述
第二步、配置路由器接口地址并检测PC1、PC2是否都可以访问server

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
第三步、在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完毕检测访问结果,如下图可以看出配置完ACL后PC1不能访问server,PC2依然可以server至此实验完毕。
在这里插入图片描述

[R1]ACL 2000 ##创建基础级ACL 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 ##添加规则,拒绝源ip为192.168.1.1
[R1-acl-basic-2000]int g0/0/1 ##进入 g0/0/1接口
[R1-GigabitEthernet0/0/1] traffic-filter outbound acl 2000 ##为出端口配置ACL 2000规则
在这里插入图片描述
在这里插入图片描述

二、NAT概述

1.NAT的原理及作用

作用:通过对网络地址转换,实现内网地址和公网地址的互相访问

原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。

2.NAT的分类

1.静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。

2.动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。

3.NAT的命令

静态nat配置:

①进入企业出口路由器 static nat enable 开启静态nat

②nat static global 1.1.1. 1 inside 2.2.2.2 将 静态 nat私网地址1.1.1.1对应公网2.2.2.2**

动态nat配置:

①nat address-group 1 200.1.1.10 200.1.1.15 #建立动态nat地址池

②acl number 2000 #创建acl 2000

③rule 5 permit source 192.168.1.0 0.0.0.255 #设定规则来自192.168.1.0网段用户允许通过

④int g0/0/1 #进入g0/0/1端口

⑤nat outbound 2000 address-group 1 no-pat #将规则添加在出口

三、EASY-IP实验配置

实验目的:PC1和PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。
在这里插入图片描述
**第一步:**配置pc1和pc2的地址
在这里插入图片描述
在这里插入图片描述
**第二步:**配置R1和R2的地址

在这里插入图片描述
在这里插入图片描述
第三步:在企业出口路由器R1上添加ACL规则并在出口上应用nat,以此达到PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。
在这里插入图片描述

[R1]ACL 2000 ##创建初级ACL 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 255.255.255.255
##添加规则允许源地址为192.168.1.0的用户通过

[R1-acl-basic-2000]quit ##返回系统视图
[R1]int g0/0/1 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat outbound 2000 ##在此接口配置出口nat并调用acl 200规则
在这里插入图片描述
在这里插入图片描述

Zhang110_
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值