网络:NAT技术&ACL技术

已于 2024-04-01 18:19:35 修改
阅读量726 收藏 14
点赞数 23
分类专栏: 计算机网络 文章标签: 网络 服务器 运维
于 2024-04-01 16:53:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyingqaq/article/details/137238913
版权

文章目录

网络:NAT技术&ACL

NAT技术

NAT简介:

NAT(Network Address Translation)是一种地址转换技术,可以将报文头中的IP地址转换为另一个IP地址。

NAT优势:

  • 将大量私网地址转换为少量在Internet上可用的公网地址,在解决私网用户访问Internet问题的同时节省公网地址。
  • 隐藏私网IP,避免用户的私网地址受到直接威胁。
  • 在对外呈现的公网地址不变的情况下,内部可以灵活组网。
  • 解决IP地址重叠问题。

NAT的工作过程 :

  • 数据包从内网发往外网时,NAT会将数据包的源IP由私网地址转换成公网地址;

  • 当响应的数据包要从公网返回到内网时,NAT会将数据包的目的IP由公网地址转换成私网地址

NAT分类:

  • Easy IP:私网IP和公网IP是多对一的关系,直接使用NAT设备的外网接口的公网IP,所有私网IP在地址转换时只会转换为NAT设备的外网接口的公网IP

  • NAT Server:私网IP和公网IP是多对一的关系,一个公网IP和不同的端口可以转换成的私网IP和端口

  • 静态NAT:私网IP和公网IP是一对一的关系,并且需要预先做好一对一的映射绑定

  • 动态NAT:私网IP和公网IP是一对一的关系,需要先自定义一个公网IP地址池,私网IP在地址转换时会轮询地址池中的每个公网IP

  • NAPT:私网IP和公网IP是多对一的关系,公网IP地址池只自定义一个公网IP,所有私网IP在地址转换时只会转换为一个自定义的公网IP

ACL

ACL简介:

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

基于ACL规则定义方式的ACL分类:

分类规则定义描述编号范围
基本ACL仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。2000~2999
高级ACL既可使用IPv4报文的源IP地址,也可使用目的IP地址IP协议类型TCP源/目的端口UDP源/目的端口号等来定义规则。3000~3999
二层ACL使用报文的以太网帧头信息来定义规则,如根据源MAC地址目的MAC地址二层协议类型等。4000~4999

ACL的匹配顺序:

配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

  • 如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。

  • 如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。

ACL基本配置命令:

配置基本ACL规则:

  • 配置基于源IP地址(主机地址)过滤报文的规则

    在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。

    <Huawei> system-view
[Huawei] acl 2001
[Huawei-acl-basic-2001] rule permit source 192.168.1.3 0

  • 配置基于源IP地址(网段地址)过滤报文的规则

    在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit only 192.168.1.3 through。

    <Huawei> system-view
[Huawei] acl 2001
[Huawei-acl-basic-2001] rule permit source 192.168.1.3 0
[Huawei-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2001] description Permit only 192.168.1.3 through
配置高级ACL规则

  • 配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

    在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。

    <Huawei> system-view
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

  • 配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

    在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。

    <Huawei> system-view
[Huawei] acl name deny-telnet
[Huawei-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

    在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web access restrictions。

    <Huawei> system-view
[Huawei] acl name no-web
[Huawei-acl-adv-no-web] description Web access restrictions
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
配置二层ACL规则

  • 配置基于源MAC地址(单个MAC地址)、目的MAC地址(单个MAC地址)和二层协议类型过滤报文的规则

    在ACL 4001中配置规则,允许目的MAC地址是0000-0000-0001、源MAC地址是0000-0000-0002的ARP报文(二层协议类型值为0x0806)通过。

    <Huawei> system-view
[Huawei] acl 4001
[Huawei-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806

    在ACL 4001中配置规则,拒绝PPPoE报文(二层协议类型值为0x8863)通过。

    <Huawei> system-view
[Huawei] acl 4001
[Huawei-acl-L2-4001] rule deny l2-protocol 0x8863

  • 配置基于源MAC地址(MAC地址段)和内层VLAN过滤报文的规则

    在名称为deny-vlan10-mac的二层ACL中配置规则,拒绝来自VLAN10且源MAC地址在00e0-fc01-0000~00e0-fc01-ffff范围内的报文通过。

    <Huawei> system-view
[Huawei] acl name deny-vlan10-mac link
[Huawei-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000

应用示例

实验一、配置静态一对一NAT

如图所示,路由器的出接口GE2/0/0的IP地址为2.2.2.2/24,LAN侧网关地址为192.168.0.1/24。对端运营商侧地址为2.2.2.1/24。该主机内网地址为192.168.0.2/24需要使用的固定地址为2.2.2.3/24。要求公司内部能够把私网地址转换为公网地址,连接到广域网。

配置静态一对一NAT

操作步骤

  1. 在Router上配置接口IP地址

    <Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 2/0/0 
[Router-GigabitEthernet2/0/0] ip address 2.2.2.2 24  
[Router-GigabitEthernet2/0/0] quit       
[Router] interface gigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0] ip address 192.168.0.1 24  
[Router-GigabitEthernet1/0/0] quit

  2. 在Router上配置缺省路由,指定下一跳地址为2.2.2.1

    [Router] ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

  3. 在Router的上行接口GE2/0/0上配置一对一的NAT映射

    [Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] nat static global 2.2.2.3 inside 192.168.0.2
[Router-GigabitEthernet2/0/0] quit

  4. 验证配置结果

    在Router上执行display nat static命令查看地址池映射关系。

    <Router> display nat static
 Static Nat Information:                                                       
 Interface  : GigabitEthernet2/0/0                                                    
   Global IP/Port     : 2.2.2.3/----                                        
   Inside IP/Port     : 192.168.0.2/----                                       
   Protocol : ----                                                             
   VPN instance-name  : ----                                                   
   Acl number         : ----                                                   
   Vrrp id            : ----                                                   
   Netmask  : 255.255.255.255                                                  
   Description : ----                                                          

 Total :    1

实验二、配置动态地址转换

如图所示,某公司A区和B区的私网用户和互联网相连,路由器上接口GigabitEthernet3/0/0的公网地址为2.2.2.1/24,对端运营商侧地址为2.2.2.2/24。A区用户希望使用公网地址池中的地址(2.2.2.100~2.2.2.200)采用NAT方式替换A区内部的主机地址(网段为192.168.20.0/24),访问因特网。B区用户希望结合B区的公网IP地址比较少的情况,使用公网地址池(2.2.2.80~2.2.2.83)采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问因特网。

配置动态地址转换

操作步骤

  1. 在Router上配置接口IP地址

    <Huawei> system-view
[Huawei] sysname Router
[Router] vlan 100 
[Router-vlan100] quit
[Router] interface vlanif 100
[Router-Vlanif100] ip address 192.168.20.1 24 
[Router-Vlanif100] quit
[Router] interface ethernet 2/0/0
[Router-Ethernet2/0/0] port link-type access  
[Router-Ethernet2/0/0] port default vlan 100 
[Router-Ethernet2/0/0] quit 
[Router] vlan 200 
[Router-vlan200] quit
[Router] interface vlanif 200
[Router-Vlanif200] ip address 10.0.0.1 24 
[Router-Vlanif200] quit
[Router] interface ethernet 2/0/1 
[Router-Ethernet2/0/1] port link-type access 
[Router-Ethernet2/0/1] port default vlan 200
[Router-Ethernet2/0/1] quit 
[Router] interface gigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0] ip address 2.2.2.1 24    
[Router-GigabitEthernet3/0/0] quit

  2. 在Router上配置缺省路由,指定下一跳地址为2.2.2.2

    [Router] ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

  3. 在Router上配置NAT Outbound

    [Router] nat address-group 1 2.2.2.100 2.2.2.200 
[Router] nat address-group 2 2.2.2.80 2.2.2.83  
[Router] acl 2000
[Router-acl-basic-2000] rule 5 permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2000] quit
[Router] acl 2001
[Router-acl-basic-2001] rule 5 permit source 10.0.0.0 0.0.0.255
[Router-acl-basic-2001] quit
[Router] interface gigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 1 no-pat
[Router-GigabitEthernet3/0/0] nat outbound 2001 address-group 2 
[Router-GigabitEthernet3/0/0] quit

  4. 验证配置结果

    在Router上执行命令display nat outbound,查看地址转换结果。

    <Router> display nat outbound
 NAT Outbound Information:
 -----------------------------------------------------------------
 Interface               Acl      Address-group/IP/Interface   Type
 -----------------------------------------------------------------
 GigabitEthernet3/0/0     2000                     1          no-pat
 GigabitEthernet3/0/0     2001                     2           pat
 -----------------------------------------------------------------
  Total : 2

此文仅为个人理解,请各位点评

姐姐,我还可以
关注
  • 23
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络技术NAT 网络地址转换及原理
Linuxhus的博客
09-03 6821
NAT 网络地址转换(NAT)技术的理论部分可以看博客——网络层——NATNAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。 在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址。内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址
贵州大学网络实用技术实验三 ACLNAT配置
12-03
贵州大学网络实用技术实验三 ACLNAT配置,在学长文档的基础上改进的
华为eNSP:静态NAT及其ACL
Hard work results, technology is willing to dream
11-14 766
静态NAT
网络基础(十二):ACLNAT
十七拾的博客
12-17 1589
本文介绍ACLNAT的概念、分类及配置过程,希望对你有帮助!
ACL技术NAT技术,园区网组网
weixin_67259816的博客
10-24 1238
ACL技术解决了网络安全的问题;NAT技术解决了IPV4公网地址枯竭的问题; 园区组网是我们现在工作和生活所使用的的网络,主流为有线,无线为辅助。
ACL技术NAT技术
x74188的博客
07-12 634
主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对特定端口的流量起到控制作用。访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
华为设备ACLNAT技术
CSDN
05-23 5887
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式
网络基础之ACL技术NAT技术
weixin_47062656的博客
10-25 1790
ACL技术 访问控制列表概述 acl工作原理 当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 访问控制列表(ACL) 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据方向有关 访问控制列表的处理过程 ACL的两种作用 用来对数据包做访问控制做访问控制(丢..
思科设备ACLNAT技术
CSDN
05-23 8788
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式
网络NAT
Junzeng_Kai的博客
11-03 90
网络成长之路
网络安全技术-IP_ACL知识点总结 NAT工作原理及几个术语介绍.mp3
07-05
网络安全技术-IP_ACL知识点总结 NAT工作原理及几个术语介绍.mp3
网络安全技术-(OSPF NAT ACL FR VLAN间路由)校园网设计与配置工程实例.mp3
07-05
网络安全技术-(OSPF NAT ACL FR VLAN间路由)校园网设计与配置工程实例.mp3
05常用的网络技术.xmind
11-09
HCIE之路-5 常用的网络技术 acl 访问控制列表 nat 地址转换 aaa认证 dhcp动态主机配置协议
单臂路由、路由重分发、NAT的设计与配置实现(2020.06.03).pkt
06-07
本资源是Cisco设备的使用练习。设计中综合了单臂路由、动态路由、路由重分发、NATACL的应用,拓扑不仅全部经过测试,而且内附代码,极其方便学习者学习使用,也可以当作老师的教学内容(注意本人版权,谢谢)
使用MPLS解决BGP的路由黑洞(详解)
最新发布
qq_64302290的博客
05-18 235
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 315
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 554
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
netstat协议
lovemelovefish的博客
05-15 390
本机各端口的网络连接情况。
DHCP,aclnat技术结论
05-25
DHCP(动态主机配置协议)是一种网络协议,用于自动分配IP地址和其他网络配置信息给计算机...综上所述,DHCP、ACLNAT都是常见的网络技术,它们在不同的场景中都有着重要的作用,可以提高网络管理的效率和网络安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值