ACL技术
一、ACL功能
ACL--访问控制列表,用于数据流的匹配和筛选
功能:
访问控制:ACL+Packet-filter(包过滤)
路由控制:ACL+Route-policy(路由策略)
流量控制:ACL+QOS(服务质量)
二、ACL组成
组成:由若干条permit或deny语句组成,每条语句就是一条规则
语句形式:rule permit source 192.168.1.0 0.0.0.255
rule deny source 172.16.0.0 0.0.255.255
手动指定:0、1、2、3、4、5......
自动生成:5、10、15...... 5的倍数
通配符:哪些需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配
三、ACL分类
基本ACL:只关心报文的源地址,2000-2999
高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000-3999
二层ACL:检查二层帧的头部信息,源MAC\目的MAC\二层协议类型等等,编号4000-4999
用户自定义ACL:使用报文头部、字符串掩码和用户自定义字符串来定义规则。编号5000-5999
四、匹配规则
包过滤方向:
出方向:数据流出的方向
入方向:数据流入的方向
注:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略
建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向
匹配机制:
1、数据包到达接口先检查是否应用ACL
2、按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配.....
3、所有规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则放弃
NAT技术
网络地址转换技术----做公司地址和私网地址转换
一、产生背景
1、IPV4地址不能用
2、IPV6普及遥遥无期
二、作用
1、解决IP地址不够用的问题
2、做公网地址和私网地址转换
3、保护内网安全
私网:由私网地址组成的网络
私网地址:
A类:10.0.0.0-10.255.255.255 掩码:8位
B类:172.16.0.0-172.31.255.255 掩码:16位
C类:192.168.0.0-192.168.255.255 掩码:24位
公网:运营商的网络
公网地址:运营商的网络所使用的IP地址
发送端:D:200.2.2.2 S:100.1.1.1+数据
接收端:D:192.168.1.1 S:200.2.2.2+数据
公私网转换的原因:如果不做转换,私网的数据包发送给公网后就有去无回了
四、NAT无类
(1)静态NAT
将私有IP和公有IP做一对一的映射,没解决IP不够用问题
(2)动态NAT
将私有IP和公有IP做一个动态的映射,本质是一对一映射,没很好解决公网IP不够用问题
(3)NAPT
基于端口的动态NAT技术,将私有IP地址和端口号与公网IP地址和端口号做一个映射,解决公网IP不够用问题
发送端:D:200.2.2.2:80 S:100.1.1.1:1025+数据
接受端:D:192.168.1.2:1025 S:200.2.2.2 :80+数据
100.1.1.1:1026------192.168.1.2:1025
发送端:D:200.2.2.2:80 S:100.1.1.1:1026+数据
接受端:D:192.168.1.2:1025 S:200.2.2.2:80+数据
(4)Easy IP
没有地址池概念,实现方式和NAPT一样,是一种简易形式,适用于没有固定的公网IP地址的场景拨号上网,公网地址不固定,自动读取当前公网接口的IP地址
(5)NAT server
把公网IP的某个端口固定映射到私网IP的某个端口,让公网上的用户可以主动访问私网中的服务器
发送端:D:192.168.1.3:80 S:200.2.2.2:1025+数据
接收端:D:200.2.2.2:1025 S:100.1.1.1:80+数据