交换的工具

ACL

ACL---访问控制列表，是一种策略控制工具

功能：1.定义感兴趣流量（数据层面 ）       2.定义感兴趣路由（控制层面）   

ACL必须要做在接口上才可以调用

ACL不能过滤自己产生的流量

ACL 条目表项组成：

编号规则：步数或者跳数默认值为5，可以调整。

ACL执行时由上至下执行（根据编号从小到大）

动作：执行动作分为permit允许，deny拒绝。

匹配项：通过通配符进行控制

特性：

1.自上而下匹配，已经匹配，立即执行，满足金字塔型结构（上面是小范围，大范围在下面）

2.ACL列表被接口调用，分为import（入）和export（出），import先匹配ACL再查看路由，export 先执行路由在匹配ACL。

3.ACL条目，思科中末尾隐含拒绝所有，华为末尾不关注（该转发转发，该丢弃丢弃）

ACL分类： 分为基本ACL和高级ACL

        基本ACL：在匹配过程中仅仅关注源IP地址

        高级ACL：在匹配过程中关注源IP、目标IP地址、协议

标记方式：编号方式和命名方式

编号方式:基本ACL2000-2999  高级ACL3000-3999

ACL 部署

基本ACL ：

拒绝1.1.1.1

0.0.0.0为通配符

通配符:32个二进制构成，0代表固定1代表可变

注意：反子网掩码32 0000+1111连续的O+连续的0固定1代表可变位

接口调用：

测试：

高级ACL：

禁止ping

过滤telnet

接口调用：与基本ACL一致

测试...

NAT

NAT：网络地址转换

随着Internet的发展和网络应用的增多，有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题，NAT（Network Address Translation，网络地址转换）技术应需而生。

公有地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址。

私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。

A、B、C类地址中各预留了一些地址专门作为私有IP地址：

A类：10.0.0.0 ~ 10.255.255.255

B类：172.16.0.0 ~ 172.31.255.255

C类：192.168.0.0 ~ 192.168.255.255

 

功能：    1.将大量的私有地址转换为公有地址（节约IP地址）

              2.将一个IP地址转换为另一个IP地址（公有的）（增加内部网络设备的安全性）

缺陷： 1.极其消耗网络设备资源  2.破坏了数据的端到端传输（导致有些安全技术无法有效实施）

 

NAT 原理：

私有IP地址叫做内部本地地址（inside local）

转换后的地址为内部全局地址

访问的目标叫做外部全局地址

内网进入外网修改源地址，外网进入内网修改目标地址

NAT部署：

1.静态NAT （一对一转换）

方法一：接口下直接启用NAT映射

测试：已经完成NAT，抓包分析

方法二：全局定义静态NAT映射关系，接口启用静态NAT功能

全局定义NAT转换过程

接口启用静态NAT功能

查看：

2.动态NAT : 多对多的地址转换

静态NAT存在两个问题：1.静态NAT地址一对一转换并未节约IP地址（增加IP控制）2.某些私有IP地址并不一定是一直使用（未充分使用公有IP地址空间）

动态NAT 部署：

定义私有IP地址范围：用ACL

定义公有地址池范围：

接口配置动态NAT映射关系：

注意：参数no-pat，默认是pat（端口地址映射），使用端口映射，no-pat---非端口地址转换

测试：

若私有地址多余公有地址则要用pat

3.NAPT

3.NAPT：网络地址端口转换，在动态NAT的基础上，使用了pat（端口地址转换）的转换，可以使用大量私有IP地址映射少量公有IP地址，可以有效的提高公有地址利用率。

部署：与动态NAT一致，不选择no-pat参数。

测试：抓包分析

4.easy IP，与NAPT一致，区别点在于将公有地址定义为连接公网出接口IP地址。（多对一）

部署：

定义私有IP地址范围：

接口启用：

5.NAT server：指定公有IP地址（端口）向私有IP地址（端口）的一对一映射关系

部署:

查看

测试：