文章目录
网络:NAT技术&ACL
NAT技术
NAT简介:
NAT(Network Address Translation)是一种地址转换技术,可以将报文头中的IP地址转换为另一个IP地址。
NAT优势:
- 将大量私网地址转换为少量在Internet上可用的公网地址,在解决私网用户访问Internet问题的同时节省公网地址。
- 隐藏私网IP,避免用户的私网地址受到直接威胁。
- 在对外呈现的公网地址不变的情况下,内部可以灵活组网。
- 解决IP地址重叠问题。
NAT的工作过程 :
-
数据包从内网发往外网时,NAT会将数据包的源IP由私网地址转换成公网地址;
-
当响应的数据包要从公网返回到内网时,NAT会将数据包的目的IP由公网地址转换成私网地址
NAT分类:
-
Easy IP:私网IP和公网IP是多对一的关系,直接使用NAT设备的外网接口的公网IP,所有私网IP在地址转换时只会转换为NAT设备的外网接口的公网IP
-
NAT Server:私网IP和公网IP是多对一的关系,一个公网IP和不同的端口可以转换成的私网IP和端口
-
静态NAT:私网IP和公网IP是一对一的关系,并且需要预先做好一对一的映射绑定
-
动态NAT:私网IP和公网IP是一对一的关系,需要先自定义一个公网IP地址池,私网IP在地址转换时会轮询地址池中的每个公网IP
-
NAPT:私网IP和公网IP是多对一的关系,公网IP地址池只自定义一个公网IP,所有私网IP在地址转换时只会转换为一个自定义的公网IP
ACL
ACL简介:
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
基于ACL规则定义方式的ACL分类:
分类 | 规则定义描述 | 编号范围 |
---|---|---|
基本ACL | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
高级ACL | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号等来定义规则。 | 3000~3999 |
二层ACL | 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
ACL的匹配顺序:
配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
-
如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
-
如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
ACL基本配置命令:
配置基本ACL规则:
-
配置基于源IP地址(主机地址)过滤报文的规则
在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。
<Huawei> system-view [Huawei] acl 2001 [Huawei-acl-basic-2001] rule permit source 192.168.1.3 0
-
配置基于源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit only 192.168.1.3 through。
<Huawei> system-view [Huawei] acl 2001 [Huawei-acl-basic-2001] rule permit source 192.168.1.3 0 [Huawei-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2001] description Permit only 192.168.1.3 through
配置高级ACL规则
-
配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。
<Huawei> system-view [Huawei] acl 3001 [Huawei-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
-
配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。
<Huawei> system-view [Huawei] acl name deny-telnet [Huawei-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web access restrictions。
<Huawei> system-view [Huawei] acl name no-web [Huawei-acl-adv-no-web] description Web access restrictions [Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0 [Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
配置二层ACL规则
-
配置基于源MAC地址(单个MAC地址)、目的MAC地址(单个MAC地址)和二层协议类型过滤报文的规则
在ACL 4001中配置规则,允许目的MAC地址是0000-0000-0001、源MAC地址是0000-0000-0002的ARP报文(二层协议类型值为0x0806)通过。
<Huawei> system-view [Huawei] acl 4001 [Huawei-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806
在ACL 4001中配置规则,拒绝PPPoE报文(二层协议类型值为0x8863)通过。
<Huawei> system-view [Huawei] acl 4001 [Huawei-acl-L2-4001] rule deny l2-protocol 0x8863
-
配置基于源MAC地址(MAC地址段)和内层VLAN过滤报文的规则
在名称为deny-vlan10-mac的二层ACL中配置规则,拒绝来自VLAN10且源MAC地址在00e0-fc01-0000~00e0-fc01-ffff范围内的报文通过。
<Huawei> system-view [Huawei] acl name deny-vlan10-mac link [Huawei-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000
应用示例
实验一、配置静态一对一NAT
如图所示,路由器的出接口GE2/0/0的IP地址为2.2.2.2/24,LAN侧网关地址为192.168.0.1/24。对端运营商侧地址为2.2.2.1/24。该主机内网地址为192.168.0.2/24需要使用的固定地址为2.2.2.3/24。要求公司内部能够把私网地址转换为公网地址,连接到广域网。
操作步骤
-
在Router上配置接口IP地址
<Huawei> system-view [Huawei] sysname Router [Router] interface gigabitethernet 2/0/0 [Router-GigabitEthernet2/0/0] ip address 2.2.2.2 24 [Router-GigabitEthernet2/0/0] quit [Router] interface gigabitethernet 1/0/0 [Router-GigabitEthernet1/0/0] ip address 192.168.0.1 24 [Router-GigabitEthernet1/0/0] quit
-
在Router上配置缺省路由,指定下一跳地址为2.2.2.1
[Router] ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
-
在Router的上行接口GE2/0/0上配置一对一的NAT映射
[Router] interface gigabitethernet 2/0/0 [Router-GigabitEthernet2/0/0] nat static global 2.2.2.3 inside 192.168.0.2 [Router-GigabitEthernet2/0/0] quit
-
验证配置结果
在Router上执行display nat static命令查看地址池映射关系。
<Router> display nat static Static Nat Information: Interface : GigabitEthernet2/0/0 Global IP/Port : 2.2.2.3/---- Inside IP/Port : 192.168.0.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Vrrp id : ---- Netmask : 255.255.255.255 Description : ---- Total : 1
实验二、配置动态地址转换
如图所示,某公司A区和B区的私网用户和互联网相连,路由器上接口GigabitEthernet3/0/0的公网地址为2.2.2.1/24,对端运营商侧地址为2.2.2.2/24。A区用户希望使用公网地址池中的地址(2.2.2.100~2.2.2.200)采用NAT方式替换A区内部的主机地址(网段为192.168.20.0/24),访问因特网。B区用户希望结合B区的公网IP地址比较少的情况,使用公网地址池(2.2.2.80~2.2.2.83)采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问因特网。
操作步骤
-
在Router上配置接口IP地址
<Huawei> system-view [Huawei] sysname Router [Router] vlan 100 [Router-vlan100] quit [Router] interface vlanif 100 [Router-Vlanif100] ip address 192.168.20.1 24 [Router-Vlanif100] quit [Router] interface ethernet 2/0/0 [Router-Ethernet2/0/0] port link-type access [Router-Ethernet2/0/0] port default vlan 100 [Router-Ethernet2/0/0] quit [Router] vlan 200 [Router-vlan200] quit [Router] interface vlanif 200 [Router-Vlanif200] ip address 10.0.0.1 24 [Router-Vlanif200] quit [Router] interface ethernet 2/0/1 [Router-Ethernet2/0/1] port link-type access [Router-Ethernet2/0/1] port default vlan 200 [Router-Ethernet2/0/1] quit [Router] interface gigabitethernet 3/0/0 [Router-GigabitEthernet3/0/0] ip address 2.2.2.1 24 [Router-GigabitEthernet3/0/0] quit
-
在Router上配置缺省路由,指定下一跳地址为2.2.2.2
[Router] ip route-static 0.0.0.0 0.0.0.0 2.2.2.2
-
在Router上配置NAT Outbound
[Router] nat address-group 1 2.2.2.100 2.2.2.200 [Router] nat address-group 2 2.2.2.80 2.2.2.83 [Router] acl 2000 [Router-acl-basic-2000] rule 5 permit source 192.168.20.0 0.0.0.255 [Router-acl-basic-2000] quit [Router] acl 2001 [Router-acl-basic-2001] rule 5 permit source 10.0.0.0 0.0.0.255 [Router-acl-basic-2001] quit [Router] interface gigabitethernet 3/0/0 [Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 1 no-pat [Router-GigabitEthernet3/0/0] nat outbound 2001 address-group 2 [Router-GigabitEthernet3/0/0] quit
-
验证配置结果
在Router上执行命令display nat outbound,查看地址转换结果。
<Router> display nat outbound NAT Outbound Information: ----------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type ----------------------------------------------------------------- GigabitEthernet3/0/0 2000 1 no-pat GigabitEthernet3/0/0 2001 2 pat ----------------------------------------------------------------- Total : 2
此文仅为个人理解,请各位点评