ACL与NAT!
一.ACL
1.ACL的概述
ACL
访问控制列表,是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;
ACL除了能够对报文进行匹配,还能够用于匹配路由;
主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合
2.ACL是什么
ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;
ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?下面就让我们从ACL的配置深入了解它吧。
(1)ACL的标识种类
①:利用数字标识
②:利用名称标识
具体分为以下四类
(2)ACL的匹配顺序
Rule:代表第一条,第二条
5:步长
permit:允许
deny:拒绝
(3)ACL的配置
这里需要提一点的是,为什么一般rule 5步长写5,而不是从1/2/3开始,这个没有固定的数字,如果说步长写5,临时想在中间插入一个条件,就可以在中间插入,如果是rule1/2/3,就没办法中间插入。
(4)wildcare:通配符
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特为需要严格匹配,哪些比特位则无所谓
通配符通常采用类似网络掩码的点分十进制形式表示,但是汉语却与网络掩码完全不同
如上图,0:表示需匹配;1:表示无所谓
再举个通俗易懂的例子:
有两个特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any
二.NAT
1.NAT的技术背景
(1)IPV4地址耗尽
(2)局域网用户普遍使用是由IV4地址,如何访问公网?
(3)局域网中使用是由IPV4地址的服务器如何对公网提供服务?
(4)若需要对外隐藏内网的IP,同时内网的特定服务器有需对外提供服务该如何实现?
为了解决以上四个问题,产生了NET网络地址转换技术,即把私网ip地址转换成公网ip地址,从而让私网ip地址可以访问公网ip地址,可以大大的节省ipv4的地址。
这里需要说明一个公网IP地址和私网IP地址的区别
公网地址
公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的 唯一-性,公网地址由IANA ( Internet Assigned Number Authority )这个国际组织负责分配。一台网络设备如果需要使用公网地址,就必须向ISP ( Internet Service Provider )或注册中心申请。
私有地址
为了满足- -些实验室、公司或其他组织的独立于Internet之外的私有网络的需求, RFCA ( Requests For Comment ) 1918为私有使用留出了三个IP地址段。私有 地址不能在Internet上被分配,因而可以不必申请就可以自由使用。
2.NAT是什么
NAT(Network Address Translator)的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。
(1)NAT的优缺点
优点
①缓解公网地址紧缺问题
②解决IP地址空间冲突或重叠的问题
③网络扩展性更高,本地控制也更容易
④内网结构及相关操作对外变得不可见
⑤增加了安全性
缺点
①存在转发延迟
②端到端寻址变得困难
③某些应用不支持NAT
④NAT产生的表项需占用设备的内存空间
⑤设备性能问题
(2)NAT的类型
① 静态NAT
实现了私有地址和公有地址的一对一映射;
一个公网IP只会分哦诶给唯一且固定的内网主机
② 动态NAT
是基于地址池来实现私有地址和公有地址的转换
③ NAPT(网络地址端口转换)
允许多个内部地址映射到同一个公有地址的不同端口。
④ Easy Ip
允许将多个内部地址映射到网关接口低智商的不同端口