ACL和NAT内容整理

最新推荐文章于 2022-07-21 08:00:00 发布
最新推荐文章于 2022-07-21 08:00:00 发布
阅读量574 收藏 1
点赞数
文章标签: 网络 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62473957/article/details/121839873
版权

目录

一.ACL内容整理

1.1ACL的作用与原理

1.2ACL的种类

1.3ACL应用规则

1.4ACL命令

二.NAT内容整理

1.1什么是NAT

1.2NAT的工作原理:

1.3NAT功能:

1.4静态NAT

1.5NAT命令

总结

一.ACL内容整理

1.1ACL的作用与原理

ACL用来对数据包做访问控制(丢弃或者放行);结合其他协议,用来匹配范围

ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

1.2ACL的种类

基础acl(2000--2999);只能匹配IP地址

高级acl(3000--3999)可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议。

二层acl(4000--4999)根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。

1.3ACL应用规则

1.一个接口的同一个方向,只能调用一个acl

2.一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行

3.数据包一旦被某rule匹配,就不再继续向下匹配

4.用来做数据包访问控制时,默认隐含放过所有(华为设备)

1.4ACL命令

[Huawei]acl number 2000     #######创建acl 2000
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1  0   ####拒绝源地址为192.168.1.1的流量
[Huawei]interface GigabitEthernet0/0/1
[Huawei - GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei - GigabitEthernet0/0/1] traffic-filter outbound  acl 2000   ##接口出方向调用acl 2000, outbound 代表出方向,inbound 代表进入方向。
[Huawei - GigabitEthernet0/0/1] undo sh

[Huawei] acl number 2001    ####进入acl 2001 列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0    0.0.0.255  ##permit代表允许,source代表来源,掩码部分 是 反掩码
[Huawei-acl-basic-2001]rule deny source any  ###拒绝任何访问,any代表所有0.0.0.0 255.255.255.255

[Huawei]interface g0/0/1     ######进入出口接口
[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24
[Huawei-GigabtEthernet0/0/1]traffic-filter outbound acl 2001

[Huawei]acl numer 3000    #####拒绝TCP为高级控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0   0.0.0.255  destination 192.168.3.1 0  ##拒绝ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80

二.NAT内容整理

1.1什么是NAT

NAT (Network AddressI Iransiatlon )称为网络地址转块,私有网络地址和公有网络地址,公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。

1.2NAT的工作原理:

1、NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信

2、NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内 部主机想要通信,必须主动和公网的一个IP通信, 路由器负责建立一个映射关系,从而实现数据的转发。

1.3NAT功能:

NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。

1.宽带分享:这是NAT主机的最大功能。

2.安全防护:NAT之内的PC联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端 的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。

优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性

缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)

1.4静态NAT

静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。

内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。

1.5NAT命令

全局模式下设置静态ANT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1                               ####外网口
[R1-int g0/0/1]nat static enable   ####在网口上启动nat static功能

第二种:直接在接口上声明nat static
[R1]int g0/0/1                               ###外网口
[R1-int -g0/0/1]nat static qlobal 8.8.8.8  inside 192.168.10.10
[R1]dis nat static                         #######查看nat静态配置信息

####动态nat:多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1、配置外部网口和内部网口的IP地址

2、定义合法IP地址池
[R1]nat addres-group  1  212.0.0.100 212.0.0.200             #####新建一个名为1的nat地址池

3、定义访问控制列表
[R1]acl2000    ##创建acl,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000]rule permit source  11.0.0.0 0.0.0.255





动态NAT
1.配置外部网络和内部网口的IP地址
2.定义合法IP地址池
[R1]nat address-group 1 212.0.0.100    212.0.0.200             #####新建一个名为1的nat地址池
3.定义访问控制列表
[R1]acl 2000
###创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0    0.0.0.255
R1-acl-basic-2000]rule permit source 11.0.0.0    0.0.0.255
4.在外网口,上设置动态IP地址转换
[R1-acl-basic-2000]int  g0/0/1     ####外网口
[R1-GigabitEthernrt0/0/1]nat outbound  2000  address-group   1   no-pat   ##将ACL
2000匹配的数据转换为改接口的IP地址作为源地址(no pat   不做端口转换,只做IP地址转换,默认为pat)
[R1]dis   nat     outbound       ###查看NAT  outbound的信息




NAPT:多个私网IP地址:对应固定外网IP地址(比如200.1.1.10),配置方法与动态NAT类似
1.配置外部网口和内部网口的IP地址
2.定义合法IP地址池
[R1]nat address-group  1  200.1.1.10   200.1.1.10    ########使用一个固定IP
3.定义访问控制列表
[R1]acl 2000    ###允许源地址为192.168.30.0/24 网段的数据通过
[R1-ACL-ADV-2000]rule permit source 192.168.30.0   0.0.0.255
4.在外网口上设置IP地址转换
R1-acl-basic-2000]int g0/0/1              ######外网口
[R1-GigabitEthernet0/0/1]nat   outbound 2000 address-group 1





NAT server: 端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问

[R1] int g0/0/1

[R1-GigabitEthernet0/0/1]nat server protocol tcp global9.9.9.9 www inside 192. 168.10.100 www
###在连接公网的接口.上将私网服务器地址和公网地址做一对NAT映射绑定

 [R1 -Gigabi tEthernet0/0/1]nat server protocol tcp global current- interface 8080 inside 10.1.1.1 www
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定

 [Rl-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp122 ###端口为21可以直接使用关键字“ftp"代替

总结

 ACL用来对数据包做访问控制(丢弃或者放行);结合其他协议,用来匹配范围

ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。

ST Cp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NAT、PAT的原理及配置
weixin_67470255的博客
03-16 4492
目录 一、NAT 1.私有地址 2.NAT工作原理 3.NAT功能 4.NAT配置命令 5.ACL访问控制表 二、PAT 1.PAT的作用: 2.PAT的类型: 3.NAPT的配置 4.Easy IP的配置 ​5.PAT端口多路复用 一、NAT NAT又称为网络地址转换,用于实现私有网络和共有网络之间的互访 1.私有地址 私有网络地址是指內部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址不在Internet上被分配,可在一个单
PAT 配置实例
weixin_45409371的博客
10-17 8814
一、PAT: (1)PAT(port-address-translation)是端口地址转换;NAT是网络地址转换,由RFC 1631定义,PAT可以看做是NAT的一部分。 (2)在NAT时,考虑一种情形,就是只有一个Public IP,而内部有多个Private IP,这个时候NAT就要通过映射UDP和TCP端口号来跟踪记录不同的会话,比如用户A、B、C同时访问CSDN,则NAT路由器会将用户A...
配置PAT
k0sec的安全路
07-27 1001
【实验目的】 学习PAT的配置方法,PC1、PC2能访问4.4.4.4的WWW 【知识点】 PAT的工作原理 【实验场景】 内网里有两台主机,通过两台路由器连接外网。在外网有一台服务器,现在要求在连接内外网的路由器上做PAT,最后实现两台主机可以访问服务器的目的。 【实验原理】 【实验设备】 Cisco Packet Tracer软件中:两台主机,两台2911的路由器,一台服务器,一台2960交...
CCNA7:ACLNAT(一对一、一对多、多对多)、端口映射、远程登录
热门推荐
LIHAO的博客
05-08 1万+
文章目录CCNA7:ACL访问控制列表、NAT:一、远程登录:二、ACL:访问控制列表:1、访问控制:(1)匹配规则:(2)分类:①:标准ACL:②:扩展ACL:2、定义感兴趣的流量:3、实验:二、NAT: CCNA7:ACL访问控制列表、NAT: 一、远程登录: 远程登录的思路:首先在被登录方设置一个用户名和密码,然后开启远程登录。虚拟链路0-4,一共5根虚拟链路,允许同时5人登录进来。 R2...
nat和PAT有什么区别
以爱护甲,爱满枫林。
10-10 1万+
1、PAT是NAT的一种,NAT包括静态NAT和动态NAT(端口NAT)还有就是PAT。 2、静态NAT是一对一,一个内网地址对一个公网地址,动态NAT是一对多,可重复利用,PAT是接口地址转换。 扩展资料: NAT是网络地址转换,比方说有一万用户一千个IP,每个用户一个IP肯定不够,但同时上线的用户可能只有500,于是分给用户私网IP,等他上线时NAT设备进行私网IP和公网IP的映射转...
华为NAT配置案例整理.pdf
11-14
华为NAT配置案例整理.pdf 本文档主要介绍了华为设备上NAT(Network Address Translation,网络地址转换)技术的配置案例,包括静态NAT、动态NAT和PAT(Port Address Translation,端口地址转换)技术。下面对每种...
CCNA完整版实验手册整理
06-08
ccna里面的各种实验配置详解,仅供参考
Squid代理服务器的搭建[整理].pdf
10-12
b) 使用ACL(Access Control Lists)定义允许的网络访问,例如`acl localnet src 192.168.10.0/24`允许192.168.10.0/24网段的主机访问。 c) 修改默认监听端口,如`http_port 3128`将端口改为3128。 d) 启动Squid...
sspulinux路由与交换大作业[整理].pdf
10-12
- 配置FastEthernet0/0和FastEthernet0/1接口的IP地址,并定义它们为内部网络(`ip nat inside`)。 - 在Serial1/0接口上配置IP地址,定义它为外部网络(`ip nat outside`),并应用访问控制列表(`ip access-group ...
ccna-ccnp读书笔记整理的材料。
05-11
4. **网络安全**:介绍访问控制列表(ACL)、NAT/PAT、AAA(认证、授权、审计)等网络安全措施。 5. **网络设计原则**:学习如何根据业务需求进行网络设计,包括高可用性、冗余和灾难恢复策略。 6. **网络故障排除...
密码认证协议PAT怎么配置?
XMWS-IT
04-14 930
实验目的 1.理解PAT的转换原理 2.掌握PAT的配置方法 实验拓扑 关注微信公众号:厦门微思网络 实验需求 1.根据实验拓扑图,完成设备的基本配置; 2.在R2上创建Loopback0接口,IP地址是9.2.6.7/32,模拟公网上的一台服务器; 3.在R1上配置PAT,使得PC1和PC2能够复用E0/1接口地址访问公网服务器。 实验步骤 步骤1:设备的基本配置 配置PC1: ...
6.2 NAT:PAT/easyIP
ldg513783697的博客
03-12 531
文章目录1111 1111
交换机与路由器技术:静态NAT、动态NAT、PAT和端口镜像
m0_51456787的博客
07-21 3774
1)静态转换1对1转换1个内网地址转换为1个外网地址,形成的是永久性的对应关系,可以根据外网地址直接定位到内网地址,可以实现内网访问外网,也可以实现外网访问内网(2)动态转换多对多转换内网多个IP转换为外网多个IP,当内网主机数量多于外网IP地址个数时,无法实现内网所有主机同时上网,由于是动态的对应关系,所以无法根据外网地址锁定到内网地址,只能实现内网访问外网(3)端口多路复用(PAT)多对1转换(源地址转换,NAT代理上网).........
不得不学的NAT和PAT技术
码海小虾米_的博客
03-19 4562
NAT一、NAT(网络地址转换)1.1 NAT的工作原理1.2 NAT主要功能1.3 静态NAT1.3.1 静态NAT实验1.4 动态NAT1.4.1 静态NAT实验二、PAT端口多路复用2.1 概念和原理2.2 作用和类型2.3 动态PAT2.3.1 NAPT2.3.2 NAPT实验2.3.1 EasyIp2.3.1 EasyIp实验2.4 静态PAT—NATServer2.4.1 静态PAT—NATServer实验 一、NAT(网络地址转换) NAT (Network Address Translati
网络地址转换--PAT配置
石头城云计算的博客
10-17 2041
PAT配置 1.定义访问控制列表: router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 2.定义合法IP地址池: router(config)#ip nat pool onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248 3.实现网络地址转换: router(config)#...
PAT配置
LIGANG0704的博客
05-23 334
 步骤 实现此案例需要按照如下步骤进行。 步骤一:基于端口的PAT配置限制 1)删除动态NAT配置 tarena-R1(config)#no ip nat inside source list 1 tarena-R1(config)#no ip nat pool natpool tarena-R1(config)#no access-list 1 2)在R1上配置包括内网所有IP地址的ACL ...
pat原理以及ospf 的相关知识
qq_23868387的博客
10-18 954
pat:端口复用 实现同一公网和多个私网的映射,节约公网地址。不同私网地址的报文源ip地址转化为同一公网地址,但被转换为同一地址的不同TCP或UDP端口号,因而仍能共享同一地址。
防火墙的NAT策略 配置NAT NO-PAT、NAT、Easy-IP
Crazier_的博客
08-30 1万+
实验拓扑图: 实验步骤: 配置IP地址及安全策略实现全网互通 1.配置NAT NO-PAT 2.配置NAPT 3.配置Easy-IP 一. 配置IP地址 (1)pc1的IP (2)pc2的IP 3)pc3的IP (4)r1的IP [r1]interface GigabitEthernet0/0/0 [r1-GigabitEthernet0/0/0]ip address 192.168.10...
描述一下ACLNAT
最新发布
06-09
ACL(Access Control List)和NAT(Network Address Translation)都是网络中常用的安全措施,它们的作用和实现方式如下: ACL是一种网络安全技术,它可以限制网络中的流量,只允许特定的流量通过。ACL通常用于过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值