ACL 与NAT

最新推荐文章于 2023-03-23 16:49:08 发布
最新推荐文章于 2023-03-23 16:49:08 发布
阅读量277 收藏
点赞数
分类专栏: 笔记 acl 文章标签: 路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lv74134/article/details/115670992
版权
笔记 同时被 2 个专栏收录
65 篇文章 1 订阅
订阅专栏
acl
1 篇文章 0 订阅
订阅专栏

ACL与限定某个ip或者协议与端口的通行(路由器上的限行)

1、实际上有四种分类:
基础标识范围 2000-2999
对源IP地址进行匹配,定义我的源 ,运用最广泛

高级标识范围 3000-3999
除了对源IP 目的TP 源端口 目的端口 协议 都可以制定规则,内容更加丰富,内容更加精准

二层ACL 4000-4999
对数据链路层,源MAC 目的MAC 数据帧 进行过滤

自定义 ACL
官方给的范围是5000-5999 运用名称标识

配置指令

[r1]acl 2000	 //设置acl表
[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1]acl 3000	//可不设定
[r1-acl-adv-3000]rule permit ip source 50.0.0.0 0.0.0.255 //可不设定
[r1-acl-adv-3000]q //可不设定
[r1]int g0/0/1	
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 50.0.0.10 80 inside 192.168.20.1 80
[r1-GigabitEthernet0/0/1]nat outbound 2000

2、通配符
通配符是一个32比特长度的数值,用于指示IP地址中,用0表示哪些比特位需要严 格匹配,用1哪些比特位则无所谓。
3、NAT帮助不同网段的通信(穿衣服的过程)(路由器上的包装公司)
静态 NAT ( Static NAT )( 一对一 )。将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一直不变的

动态地址 NAT ( Pooled NAT )(多对多)。将内部网络的私有 IP 地址转换为公用 IP 地址时,IP 地址是不确定,随机的,基于地址池来进行公有地址和私有地址的转换

网络地址端口转换 NAPT(Network Address Port Translation)(Port-Level NAT)( 多对一 )。改变外出数据包的源端口并进行端口转换,采用端口多路复用方式。网络地址端口转换NAPT允许多个内部地址映射到同-个公有地址的不同端口

Easy ip
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口.

在这里插入图片描述
(1)如图,对各个主机和路由器的端口进行设置
在这里插入图片描述

1、对主机进行设置
在这里插入图片描述
2、对交换机和路由器进行配置
sw

[sw]vlan batch 10 20 
[sw]int e0/0/1
[sw-Ethernet0/0/1]p l a 
[sw-Ethernet0/0/1]p d v 10
[sw]int e0/0/2
[sw-Ethernet0/0/2]p l a 
[sw-Ethernet0/0/2]p d v 20
[sw-Ethernet0/0/2]int e0/0/3
[sw-Ethernet0/0/3]p l a 
[sw-Ethernet0/0/3]p d v 10
[sw-Ethernet0/0/3]int e0/0/4
[sw-Ethernet0/0/4]p l a 
[sw-Ethernet0/0/4]p d v 20
[sw-Ethernet0/0/4]int g0/0/5p 
[sw-Ethernet0/0/5]p d t     #trunk掉e0/0/5
[sw-Ethernet0/0/5]p t a v a

R1设置为单臂路由,且设置静态路由表

[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0.1]d t v 10  #去掉标签10
[R1-GigabitEthernet0/0/0.1]a b e   #允许广播
[R1-GigabitEthernet0/0/0.1]int g0/0/0/0.2
[R1-GigabitEthernet0/0/0.2]ip 192.168.2.254 24
[R1-GigabitEthernet0/0/0.1]d t v 10  #去掉标签10
[R1-GigabitEthernet0/0/0.1]a b e   #允许广播
[R1]ip route-static 10.0.0.0 24 11.0.0.2

R2进行设置默认路由

[R2]ip route-static 0.0.0.0 0 11.0.0.1

在这里插入图片描述
如图可以全网互通,解决一个要求。

(2)配置ACL使得vlan10和vlan20 不通

[R1]int g0/0/0.2  #进入虚拟子接口g0/0/0.2[R1-GigabitEthernet0/0/0.2]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[R1]int g0/0/0.2    #重新进入子接口
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000

在这里插入图片描述

(3)配置ACL是R1不能访问websever
设置loopback,赋予ip 12.0.0.1 /24

[R1]int LoopBack 0
[R1-LoopBack0]ip add 12.0.0.1 24
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]acl 2001
[R1-acl-basic-2001]rule deny source 12.0.0.1 0.0.0.0
[R1-acl-basic-2001]q
[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]traffic-filter outbound  acl 2001
遙遙背影暖暖流星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于思科模拟器的校园网课程设计和pkt文件
06-17
1.技术主要包括:VLAN,SVI,OSPF,TUNNEL,IPSEC,帧中继,HSRP,链路冗余,NATACL,WEB,DNS,FTP,E-MAIL,DHCP,TELNET等 2.包含课程设计和pkt源文件,可以直接用 3.不包含配置命令文档,想学习如何配置的兄弟自己百度各功能具体实现吧,大同小异嘿嘿 4.希望可以帮到大家
校园网组网方案的设计
wozuicongming_的博客
12-27 7502
利用Cisco实现校园网组网方案的设计,实现网络之间的互联互通。
基于高校校园网的网络规划设计与实现-以锦城学院为例-kaic.docx
03-03
目 录 1 绪论 1.1 研究背景和意义 1.2 研究方向与现状 1.3 文献综述 1.4 本文的章节安排 2 相关技术理论 2.1 MSTP 2.2 VRRP 2.3 MPLS VPN 2.4 BGP 2.5 OSPF 2.6 ACL技术 2.7 防火墙 3 网络需求分析 3.1 学校背景介绍 3.2 用户需求 3.3 业务需求 3.4 安全需求 4 学院网络设计方案 4.1 网络设计原则 4.2 网络拓扑图 4.3 VLAN和IP地址规划 4.4 网络分层设计 4.4.1 核心层设计 4.5 MPLS VPN设计 4.6 网络安全设计 4.7 无线网络设计 5 设计实现 5.1 基础通信配置 5.2 网络可靠性配置 5.2.1 链路聚合配置 5.2.2 VRRP配置 5.3 网络安全配置 5.4 无线网络配置 5.5 MPLS VPN配置 5.6 验证测试 5.6.1 DHCP测试 5.6.2 外网访问测试 结论 参考文献 致谢 VX:18341315438
网络安全技术-(OSPF NAT ACL FR VLAN间路由)校园网设计与配置工程实例.mp3
07-05
网络安全技术-(OSPF NAT ACL FR VLAN间路由)校园网设计与配置工程实例.mp3
Cisco Packet Tracer 典型校园网设计
04-06
这是一个基于中小型校园网的网络搭建设计,使用Packet Tracer模拟器实现网络配置,并应用多种关键技术。其中,使用了VLAN技术实现了学校部门间的网段隔离;使用链路聚合提高了核心层的网络带宽与稳定性;使用RSTP提高了网络的故障切换速度,并避免了网络环路和广播风暴;使用思科的HSRP协议实现了网关的冗余性;配置ACL访问控制技术,限制了部门间网络的互访;配置NAT技术解决了内网主机上网和公网地址不够用的问题;配置OSPF动态路由和缺省引入,实现了内网的网络互通和访问互联网的路由转发问题;并在网络拓扑中配置了无线路由器,提供了校园网的无线终端WIFI上网功能。 该网络拓扑功能齐全,配置步骤详细,可作为课设,毕设参考使用,未经授权禁止商业使用.
NATACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。但是这样却有利于ACL对内网 的控制。假设ACLNAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
ACLNAT
qq_49175694的博客
05-26 2973
ACL 概述   ACL是由一系列permit或deny语句组成的、有序规则的列表。   ACL是一个匹配工具,能够对报文进行匹配和区分。   通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。   ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类。   ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等
ACLNAT介绍
wf19880114的博客
12-11 735
ACL: accessControl list 访问控制列表 ACL两种作用: 用来对数据包做访问控制(丢弃或者放行)结合其他协议,用来匹配范围 acl 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。 acl种类: 基本acl (2000-2999) :只能匹配源ip地址。 高级acl (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。 二层ACL(4000-4999):根据数据包的源MAc..
简单了解ACLNAT!
guguai7的博客
04-26 2677
ACLNAT! ACLNAT!ACLNAT!一.ACL二.NAT 一.ACL 二.NAT
ACLNAT协议
y1035793317的博客
07-21 475
引言
Nat+acl Nat+acl
最新发布
03-29
Nat+acl
ACLNAT综合应用说明文档.pkt
01-01
常见的访问控制列表种类有:IP标准ACL、IP扩展ACL、IPX 标准ACL、IPX 扩展ACL、48 位MAC 地址ACL 和协议ACL 等等。IP相关的访问控制列表主要分为以下几类: ⑴ 标准IP访问控制列表 标准IP访问控制列表匹配IP包中的...
贵州大学网络实用技术实验三 ACLNAT配置
12-03
贵州大学网络实用技术实验三 ACLNAT配置,在学长文档的基础上改进的
ACL+NAT综合实验
01-10
在Router 上作NAT并且做一条默认路由指向File Server的IP,要求在Router 上能查看到NAT映射的效果,并且能实现PC 1通过NAT ping 通File Server……
【网络学习笔记】之【ACLNAT
AA8j的博客
07-07 638
6. ACLNAT 6.1 ACL-访问控制列表 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。 6.1.1 概述 应用于路由器接口的指令列表,使用包过滤技术,读取第三层或第四层包头中的信息,如源地址、目的地址、源端口、目的端口及协议等,根据预先定义好的规则对包进行过滤,从而达到访问控制目的。 6.1.2 原理 核心技
路由协议与交换技术——ACLNAT
weixin_48747169的博客
06-12 988
ACL概述:ACL是访问控制列表(Access Control List),使用包过滤技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。具有一定的局限性,如无法识别到具体的人,无法识别到应用内部权限级别。ACL的主要功能:一是保护资源节点,阻止非法用户对资源节点的访问;二是限制特定的用户节点对资源节点的访问权限。实施ACL的过程,应当遵守如下原则:根据访问控制需求表,写出ACL语句:访问控制需求表实例ACL:ip
网络基础——ACLNAT介绍
weixin_67300995的博客
03-23 1135
ACL(访问控制列表):用于过滤流量。NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。
网络工程课程设计_某学校网络设计
fengxiandada的博客
01-22 2024
网络工程课程设计——某学校网络设计 Spring框架是一个开源的JavaEE的应用程序 主要核心是IOC(控制反转/依赖注入)和AOP(面向切面编程)两大技术 1. 需求分析 1.1 用户需求 用户需求就是花小钱办大事 1.2 技术需求 信息中心配置Eth-trunk实现链路冗余 企业内网划分多个vlan,减小广播域的大小,提高网络稳定性 核心交换机作为用户网关实现vlan间路由 所有用户均通过DHCP自动获得ip地址 出口配置N
实施DHCP、静态NAT和动态NAT-test4 目标 第 1 部分:配置动态DHCP服务器 第 2 部分:利用PAT配置动态NAT 第 3 部分:配置静态NAT 第 4 部分:验证 NAT实施 第1部分:配置DHCP服务器 步骤 1:拓扑中已经配置部分ip地址及其它协议。 在R2上按表1给出的部分参数配置dhcp服务器。步骤2:PC1、PC3配置dhcp。 在R1、R3合适的位置配置dhcp中继(提示:ip helpaddres)。 第2部分:利用PAT配置动态NAT 步骤1:配置允许用于NAT转换的流量。 在R2上,配置命名为R2NAT的标准ACL,该ACL使用三条语句依次允许下列专用地址空间:192.168.10.0/24、192.168.20.0/24 和192.168.30.0/24。 步骤2:为NAT配置地址池。 使用名为R2POOL的NAT池配置R2,该NAT池使用209.165.202.128/30地址空间中的第一个地址。第二个地址稍后用于第3部分中的静态NAT。 步骤3:将命名ACLNAT池相关联,并启用 PAT。 步骤 4:配置NAT接口。 使用相应的内部和外部NAT命令配置R2接口。 第3部分:配置静态NAT 请参考拓扑结构。创建静态NAT转换,以将local.pka内部地址映射至其外部地址。 第4部分:验证NAT实施 步骤 1:通过互联网访问服务。 PC1或PC3的Web浏览器,访问cisco.pka网页。 Local.pka的Web浏览器,不能访问local.pka网页,但能访问209.165.201.30的网页,为什么?你能否改动Local.pka的ip设置,让它能访问local.pka网页。 步骤2:查看NAT转换。 查看R2上的NAT转换。 R2#show ip nat translations
05-31
这里的命令将 R2NAT ACL 与 R2POOL NAT 池相关联,并启用 PAT(端口地址转换)。 步骤 4:配置 NAT 接口。 使用相应的内部和外部 NAT 命令配置 R2 接口。 ``` R2(config)# interface GigabitEthernet 0/0 R2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值