华为eNSP静态NAT、ACL
华为eNSP静态NAT及ACL
一、NAT四种类
1、静态NAT
静态NAT实现了私有地址和共有地址的一对一转换,一个公网地址对应一个私网地址
2、动态NAT
动态NAT基于地址池来实现私有地址和公有地址的转换,转换是随机的。
3、NAPT(网络地址端口转换)
NAPT 允许多个私网地址转换到同一个公有地址的不同端口,私网利用端口号来区分。
4、Easy IP转换成出接口地址
利用端口号来识别不用的私网地址,NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。
5、NAT的作用,以及数据包经过NAT设备从内网到外网和从外网到内网的转换过程
用于实现私有网络和公有网络之间的互访。
从内网到外网:数据包的源IP由私网IP转换成公网IP
从外网到内网:数据包的目的IP由公网IP转换成私网IP
二、实验配置
(1)、搭建拓扑图
(2)配置路由器R1
R1[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/1]un sh
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/2]un sh
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000 //指定ACL的序号为2000
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //拒绝源地址为192.168.1.1的流量,0代表仅此一台
[R1-acl-basic-2000]dis th //查看系统当前视图的运行配置
[V200R003C00]
#
acl number 2000
rule 5 deny source 192.168.1.1 0
#
return
[R1-acl-basic-2000]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //接口下出方向调用acl 2000
[R1-GigabitEthernet0/0/1]dis th //查看系统当前视图的运行配置
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.255.0
traffic-filter outbound acl 2000
#
return
[R1-GigabitEthernet0/0/1]
(3)测试ping
冲突域:
- 当两台机器同时发送数据时,产生冲突那说明他们在同一个冲突域
广播域:
- 一台机器发送广播所有能收到广播的机器在同一个广播域
DHCP一次成功过程的原理
- 客户机发送discover报文(广播) 查找 dhcp服务器
- 第一台收到报文的 dhcp服务器 会回复 offer(单播) 报文 里面携带相关网络信息
- 客户机收到offer 会回复 request 报文(广播)
- 服务器收到 回复 ACK 报文
VLAN ID的数量和可用ID范围
- 数量是:4096 可用ID范围是:1-4094
access和trunk 类型的主要应用设备
- access:交换机与主机的接口或者路由器
- trunk:交换机与交换机的接口
TCP和UDP区别
- tcp:面向连接 ,慢 ,稳定,有校验功能,当传输出错,有重传功能
- udp :面向无连接, 快,不稳定
三、ACL
ACL定义:
- 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
使用ACL的目的
- ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。如下图所示,
ACL的分类
随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:
- 基本ACL:
基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。 - 高级ACL:
相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
使用ACL步骤:
- 设置相应的ACL规则
为ACL设置相关规则的时候,需要了解入口流量与出口流量,如下图所示:入口流量指的是进入设备(以路由器为例)接口的流量(无论来源是外部Internet还是内部网络),同理,出口流量指的是从设备接口流出的流量。
当外部Internet访问内部网络时,通过路由器接口2的入口流量,其源IP地址为外部的公网IP;而当内部网络需要访问外部网络时,通过路由器的接口1的入口流量,其源IP地址则为内网的IP。
将ACL应用在相应的设备接口的特定方向(inbound/outbound)上。
规则设置完成后,需要将ACL应用在设备的接口上才能正常工作。因为所有的路由和转发决策都是由设备的硬件做出的,所以ACL语句可以更快地执行。
入方向:
- ACL应用在设备接口入方向 当接口收到数据包时,先根据应用在接口上的ACL条件进行匹配,如果允许则根据路由表进行转发,如果拒绝则直接丢弃。
出方向:
- ACL应用在设备接口出方向 报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝就直接将数据包丢弃了。
总结
- 入方向是先匹配后路由;出方向是先路由后匹配;
2643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
