ACL与NAT

最新推荐文章于 2024-03-20 22:47:41 发布
最新推荐文章于 2024-03-20 22:47:41 发布
阅读量445 收藏 1
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaaaa123/article/details/125890934
版权

目录

ACL(访问控制列表)

ACL概述与产生背景

ACL应用

ACL种类

ACL应用原则

ACL匹配规则

NAT(网络地址翻译)

NAT工作机制        

静态NAT

NATPT(端口映射)

Easy-IP

实验

ACL(访问控制列表)

ACL概述与产生背景

ACL: access list 访问控制列表
白名单:默认拒绝所有,放一个 可以通信一个 自己内部的业务
黑名单:默认开放所有,加入一个,不能通信一个。

ACL应用

ACL 两种应用 :
1. 应用在接口的 ACL----- 过滤数据包(原目 ip 地址,原目mac, 端口 五元组)
2. 应用在路由协议 ------- 匹配相应的路由条目
3. NAT IPSEC VPN QOS----- 匹配感兴趣的数据流 (匹配上我设置的 数据流的)

ACL种类

ACL应用原则

基本 ACL: 尽量用在靠近目的点
高级 ACL: 尽量用在靠近源的地方 ( 可以保护带宽和其他资源)

ACL匹配规则

1 、一个接口的同一个方向,只能调用一个 acl
2 、一个 acl 里面可以有多个 rule 规则,按照规则 ID 从小到大排序,从上往下依次执行
3 、数据包一旦被某 rule 匹配,就不再继续向下匹配
4 、用来做数据包访问控制时,默认隐含放过所有 ( 华为设备)

 

NAT(网络地址翻译)

一个数据包目的 ip 或者源 ip 为私网地址, 运营商的设备无法转发数据。

NAT工作机制        

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip (私有地址),翻译成公网地址

静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一一对应,缺点和静态路由一样

NATPT(端口映射)

NAT Server---- 内网服务器对外提供服务,针对目的 ip 和目的端口映射, 内网服务器的相应端口映射成路由器公网 ip 地址的相应端口

Easy-IP

1. 使用列表匹配私网的 ip 地址
2. 将所有的私网地址映射成路由器当前接口的公网地址

实验

nat

企业出口
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shut undo shut//开启物理接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24  //配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]int g0/0/1  //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]undo shut //开启物理接口
[R1-GigabitEthernet0/0/1]ip add 202.10.10.1 24  //配置IP地址及子网掩码长度
[R1]nat address-group 1 15.0.0.10 15.0.0.11 //配置NAT外网地址池
[R1]acl 2000 //创建标准访问控制列表2000 
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //配置ACL抓取内网地址段
[R1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //在外网口调用acl2000    
[R1]ip route-static 0.0.0.0 32 202.10.10.2  // 配置默认路由,下一跳入接口 202.10.10.2
[R1-GigabitEthernet0/0/1]display nat outbound //查看是否成功

ACL

R1

[Huawei]sys R1

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24

[R1-GigabitEthernet0/0/1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24

[R1-GigabitEthernet0/0/2]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]q

[R1]acl 2000

[R1-acl-basic-2000]rule deny source 192.168.1.1 0

acl number 2000  

[R1-acl-basic-2000]int g0/0/1

[R1-GigabitEthernet0/0/1]traf

[R1-GigabitEthernet0/0/1]traffic-filter outbound 2000

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

[R1-GigabitEthernet0/0/1]undo traffic-filter outbound

[R1-GigabitEthernet0/0/1]dis th

[V200R003C00]

interface GigabitEthernet0/0/1

 ip address 192.168.2.254 255.255.255.0

return

[R1-GigabitEthernet0/0/1]q

[R1]acl 3000

[R1-acl-adv-3000]rule deny tcp 192.168.1.1 0 des

[R1-acl-adv-3000]rule deny tcp source                  

[R1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 de

stination-port eq www

[R1-acl-adv-3000]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

结果

 

 

 

Au杨
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nat+acl Nat+acl
03-29
Nat+acl
阿里云:通过设置白名单解决因误判IP被拦截问题
hknaruto的专栏
04-12 5602
若您发现部分正常业务或者 IP 无法访问,有可能是因为攻击误判导致 IP 被拦截,。 背景信息 例如,您的网络环境为 NAT 环境(即局域网内相关主机共享公网 IP 上网),由于局域网内部分主机因中病毒或被入侵后对外攻击某 ECS 服务器,被云盾识别后,会对相应的 NAT 共享公网 IP 进行拦截,从而导致无法访问。 您可以通过设置白名单放行因误判导致的 IP 被拦截问题。 操作步骤 登...
锐捷防火墙(WEB)——端口映射原理及配置
君逍遥o
09-20 3412
功能原理 备注:全映射的实现原理与端口映射一样,端口映射是将某个端口映射出来,而全映射是将所有端口均映射到公网IP上。 数据从NGFW通过时的处理流程: 入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。 源NAT转换通俗地讲即将源地址转换为另一个地址,目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网
iptables防火墙-NAT
最新发布
m0_51586984的博客
03-20 942
防火墙iptables-NAT、firewall、TCP_wrapper
内网穿透(端口映射)实践,让你的小伙伴访问你的网站
QMZQDF的博客
04-29 2356
做完网站,朋友家人无法访问?内网穿透来帮你
ACL(访问控制列表)
qq_48345422的博客
03-08 385
ACL:访问控制列表 ACL作用: 访问控制--在路由器流量进或出的接口上,匹配流量,产生动作--允许拒绝 定义感兴趣流量 匹配规则: 至上而下逐一匹配,上条匹配按上条执行,不再查看下条; 华为末尾隐含允许所有,cisco末尾隐含拒绝所有; ACL分类: 标准ACL:关注数据包中的源ip地址;----定义感兴趣流量 扩展ACL:关注数据包中的源、目标ip地址,协议号或目标端口号;----访问控制 标准ACL配置命令: 由于标准ACL仅关注数据包中的...
【Java】Socket网络编程实现内网穿透、端口映射转发、内网穿透上网工具的编写,设置IP白名单防火墙
qq_39165617的博客
05-08 5412
背景 1.1 情景假设 假如我在学校里有一台台式电脑A,这台台式电脑在实验室局域网内拥有一个局域网IP 192.168.0.A(为了方便我们这样描述IP) 我在家里有一台笔记本B,这台笔记本在家中局域网内拥有一个局域网IP192.168.0.B 1.2 想要达到的目的 我在家里想使用笔记本B通过ssh登录到A电脑的22号端口进行shell相关操作 1.3 局限 我们是没法直接访问到的,因为在当前网络环境下,我们使用的机子一般都不具备公网IP,这样我们在寻址时只靠对方的局域网IP是无法找到他的 1
锐捷RG-S2910E交换机配置网站白名单
fjh1997的博客
11-02 425
【代码】锐捷RG-S2910E交换机配置网站白名单
ACLNAT综合应用说明文档.pkt
01-01
常见的访问控制列表种类有:IP标准ACLIP扩展ACLIPX 标准ACLIPX 扩展ACL、48 位MAC 地址ACL 和协议ACL 等等。IP相关的访问控制列表主要分为以下几类: ⑴ 标准IP访问控制列表 标准IP访问控制列表匹配IP包中的...
贵州大学网络实用技术实验三 ACLNAT配置
12-03
贵州大学网络实用技术实验三 ACLNAT配置,在学长文档的基础上改进的
NATACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。...假设ACLNAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
ACL+NAT综合实验
01-10
在Router 上作NAT并且做一条默认路由指向File Server的IP,要求在Router 上能查看到NAT映射的效果,并且能实现PC 1通过NAT ping 通File Server……
思科模拟器三层交换机配置 NAT ACL
07-30
思科模拟器配置文件及其说明,包含三层交换机配置nat的转换、静态路由的配置acl的相关知识与配置
CCNA ACL NAT PPT 文件
10-20
这个是CCNA ACL NAT的PPT的参考文档,非常实用哦,是我的培训老师给我们的,都是来自cisco的官方资料,请大家作为参考。
锐捷NATACL课件
06-27
1NATACL的课件,包括反向ACL,NAPT,TCP负载均衡等内容,同时还包括实例
ENSP实验Acl nat server
10-20
ENSP实验Acl nat server
java 某个目录白名单_特定目录和文件的Apache动态IP白名单
weixin_34135138的博客
02-13 245
我试图动态地将IP列入白名单以授予对特定目录的访问权限 . PHP脚本将不断修改whitelist.txt文件以添加/删除条目 .我知道处理这个的正确方法是使用RewriteMap,但我不知道如何设置它 .例如,我希望用户在访问example.com时正常访问我的站点,但是我想拒绝访问访问块路径/目录“http://example.com/block " EXCEPT for those IP ...
Konga 使用说明
jiangbb8686的博客
11-23 4629
1、概要 konga 目前作为一个查看 kong 配置的平台使用,具体在设置 kong 参数时,仍存在一定问题。目前配置kong dashbord 较为方便。 2、konga 使用 1)环境选择 步骤 2 中点选对应环境的小星星。步骤如下: connections.png 2)查看消费者 apikey 选择对应的消费者,消费者的命名方式为 <be/fe>-<...
实施DHCP、静态NAT和动态NAT-test4 目标 第 1 部分:配置动态DHCP服务器 第 2 部分:利用PAT配置动态NAT 第 3 部分:配置静态NAT 第 4 部分:验证 NAT实施 第1部分:配置DHCP服务器 步骤 1:拓扑中已经配置部分ip地址及其它协议。 在R2上按表1给出的部分参数配置dhcp服务器。步骤2:PC1、PC3配置dhcp。 在R1、R3合适的位置配置dhcp中继(提示:ip helpaddres)。 第2部分:利用PAT配置动态NAT 步骤1:配置允许用于NAT转换的流量。 在R2上,配置命名为R2NAT的标准ACL,该ACL使用三条语句依次允许下列专用地址空间:192.168.10.0/24、192.168.20.0/24 和192.168.30.0/24。 步骤2:为NAT配置地址池。 使用名为R2POOL的NAT配置R2,该NAT池使用209.165.202.128/30地址空间中的第一个地址。第二个地址稍后用于第3部分中的静态NAT。 步骤3:将命名ACLNAT池相关联,并启用 PAT。 步骤 4:配置NAT接口。 使用相应的内部和外部NAT命令配置R2接口。 第3部分:配置静态NAT 请参考拓扑结构。创建静态NAT转换,以将local.pka内部地址映射至其外部地址。 第4部分:验证NAT实施 步骤 1:通过互联网访问服务。 PC1或PC3的Web浏览器,访问cisco.pka网页。 Local.pka的Web浏览器,不能访问local.pka网页,但能访问209.165.201.30的网页,为什么?你能否改动Local.pka的ip设置,让它能访问local.pka网页。 步骤2:查看NAT转换。 查看R2上的NAT转换。 R2#show ip nat translations
05-31
这里的命令将 R2NAT ACL 与 R2POOL NAT 池相关联,并启用 PAT(端口地址转换)。 步骤 4:配置 NAT 接口。 使用相应的内部和外部 NAT 命令配置 R2 接口。 ``` R2(config)# interface GigabitEthernet 0/0 R2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值