防火墙网络组建 源地址通配符

最新推荐文章于 2024-07-29 16:32:05 发布
最新推荐文章于 2024-07-29 16:32:05 发布
阅读量4.6k 收藏 4
点赞数
分类专栏: 防火墙 ACL 文章标签: 防火墙
通配符掩码表 
CIDR 子网掩码 反掩码    
/30 255.255.255.252 0.0.0.3   
/29 255.255.255.248 0.0.0.7   
/28 255.255.255.240 0.0.0.15   
/27 255.255.255.224 0.0.0.31   
/26 255.255.255.192 0.0.0.63   
/25 255.255.255.128 0.0.0.127   
/24 255.255.255.0 0.0.0.255   
/23 255.255.254.0 0.0.1.255   
/22 255.255.252.0 0.0.3.255   
/21 255.255.248.0 0.0.7.255   
/20 255.255.240.0 0.0.15.255   
/19 255.255.224.0 0.0.31.255   
/18 255.255.192.0 0.0.63.255   
/17 255.255.128.0 0.0.127.255   
/16 255.255.0.0 0.0.255.255   
/15 255.254.0.0 0.1.255.255   
/14 255.252.0.0 0.3.255.255   
/13 255.248.0.0 0.7.255.255   
/12 255.240.0.0 0.15.255.255   

/11 255.224.0.0 0.31.255.255   

/10 255.192.0.0 0.63.255.255   

/9 255.128.0.0 0.127.255.255

/8 255.0.0.0 0.255.255.255


此应用于防火墙配置 ACL 访问控制列表 配置中使用。




(1)组网需求
一个公司通过SecPath防火墙连接到Internet。公司内部网段为192.168.20.0/24。由ISP分配给防火墙外部接口的地址范围为202.169.10.1~202.169.10.5。其中防火墙的接口GigabitEthernet0/0连接内部网络,地址为192.168.20.1;接口GigabitEthernet0/1连接到Internet,地址为202.169.10.1。WWWServer和FTPServer位于公司网络内部,地址分别为192.168.20.2和192.168.20.3。要求公司内部网络可以通过防火墙的NAT功能访问Internet,并且外部的用户可以访问内部的WWWServer和TelnetServer。
(2)组网图


图1-1NAT配置组网图
(3)配置步骤
第一步:创建允许内部网段访问所有外部资源的基本ACL,以供NAT使用。创建ACL的方法可参见5.2.1ACL配置。


点击“防火墙”目录中的“ACL”,在右边的ACL配置区域中单击<ACL配置信息>按钮。


在“ACL编号”中输入基本ACL的编号2001(基本ACL的编号范围为2000~2999),单击<创建>按钮。在下面的列表中选择此ACL,单击<配置>按钮。


在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入192.168.20.0,“源地址通配符”中输入0.0.0.255,单击<应用>按钮。
第二步:创建NAT地址池。


在“业务管理”目录下的“NAT”子目录中点击“地址池管理”,在右边的配置区域中单击<创建>按钮。
  在“地址池索引号”栏中输入1,“起始地址”栏中输入202.169.10.1,“结束地址”栏中输入202.169.10.5,单击<应用>按钮。  第三步:配置NAT转换类型。    点击“地址转换管理”,在右边的配置区域中单击<创建>按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”,选中“ACL编号”复选框并输入已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多,所以在“转换类型”中选择“NAPT”以启用NAT地址复用,单击<应用>按钮。  第四步:配置NAT内部服务器映射。   点击“内部服务器”,在右边的配置区域中单击<创建>按钮。   在“接口名称”中选择“GigabitEthernet0/1”,“协议类型”选择“TCP”,“外部地址”栏中输入202.169.10.1。   选中“外部起始端口”输入栏选项,输入WWW服务器使用的端口号,这里假设为80端口。    在“内部起始地址”栏中输入内部WWW服务器的IP地址192.168.20.2。    选中“内部端口”输入栏选项,输入内部WWW服务器使用的端口号,这里也假设为80端口,单击<应用>按钮。   内部Telnet服务器映射的配置方法与此相同。

(1) 

组网需求

 

一个公司通过SecPath防火墙连接到Internet。公司内部网段为192.168.20.0/24。由ISP分配给防火墙外部接口的地址范围为202.169.10.1~202.169.10.5。

其中防火墙的接口GigabitEthernet0/0连接内部网络,地址为192.168.20.1;接口GigabitEthernet0/1连接到Internet,地址为202.169.10.1。

WWW Server和FTP Server位于公司网络内部,地址分别为192.168.20.2和192.168.20.3。要求公司内部网络可以通过防火墙的NAT功能访问Internet,

并且外部的用户可以访问内部的WWW Server和Telnet Server.





斯密德
关注
专栏目录
网络工程师下午考试试题专题专解
abraham的博客
08-10 1万+
01-IPSec VPN的基本配置 环境:接口地址都已经配置完,路由也配置了,双方可以互相通信. 密钥认证的算法2种:md5和sha1 加密算法2种: des和3des IPsec传输模式3种: AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证) ESP加密参数:esp-des(des加密)、esp-3des(3des加密)、esp-null(不对数据进行加密) ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-hmac(...
防火墙的目标地址转换和源地址转换
萌兔兔MMQ!!
08-05 3162
由于是同一网段,所以两个网关是一样的。因为内网1 的请求数据在通过防火墙时, 用户地址(内网1 IP)会被转换成防火墙/网关IP, 返回数据包也就会发往防火墙/网关IP,再被防火墙转换发回 内网1, 不存在内网1 和内网6 的直接对话, TCP 数据包也能对应上,访问就没有问题了。从另外一个角度看,外网访问做双向地址转换虽然可行,但有一个缺点, 就是数据包到达内网服务器时,外网用户IP 被转换成了防火墙/网关IP, 这样内网中的应用程序就无法获取外网用户的真实IP了, 只能看到请求来自防火墙/网关IP。..
华为防火墙地址对象地址组、服务对象服务组
更多内容查看博客描述。
04-17 1356
在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。source-address address-set R&D_Dept //以地址组方式指定源地址
网络通信中的源地址,目的地址,源端口,目的端口,安全区域
最新发布
y_bra_ke的博客
07-29 892
网络传输数据时要用到的概念,举例子:A主机要发送数据到B主机上。那么源地址:就是A主机的ip地址目的地址:B主机的IP地址A,B两台机子不仅仅是把数据发送到对端主机上,而是访问对端主机的上的某个服务源端口号:端口号(port)的作用实际就是标识一台主机(A)上的一个进程目的端口:B主机上的一个进程。安全区域(Security Zone)。安全区域是一个或多个接口的集合。我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就能把安全区域和网络关联起来。通常说某个安全区域,也可以表示该安全区域
SpringMVC学习系列(3) 之 URL请求到Action的映射规则
aa8635830的博客
05-14 403
在系列(2)中我们展示了一个简单的get请求,并返回了一个简单的helloworld页面。本篇我们来学习如何来配置一个action的url映射规则。 在系列(2)中我们在HelloWorldController上配置了一个@RequestMapping(value = "/helloworld")这表示对该controller的所有action请求必须是以"/helloworld”开始...
通配符,自己理解的
weixin_34034261的博客
07-29 805
通配符是匹配0而忽视1,我们用0.0.0.254来说 0. 0. 0. 254 00000000.00000000.00000000.11111110 通配符 192. 168. 0. 0 11000000.10101000.00000000.00000000 11000000.1010100...
华为机试题三 关于通配符的匹配
nt13的专栏
03-30 402
主要是输入字符串1233232,2?3?3 用逗号分割匹配串,输出第一个匹配的字串 #include #include #include using namespace std; int main() { string s1; vectors2,s3,s4; cin>>s1; int count=s1.find(','); for (int l=0;l<count;l++) {
计算机网络之CPT实验
weixin_45659075的博客
01-05 2381
1.直接连接两台 PC 构建 LAN 将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。 进行两台 PC 的基本网络配置,只需要配置 IP 地址即可,然后相互 ping 通即成功。 ip为DHCP服务自动分配 2.用交换机构建 LAN 构建如下拓扑结构的局域网: ...
国产化操作系统改造实践(未完)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-10 6253
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
网络工程师基础知识(网络设备的选择和基本配置)
影月之伤的专栏
08-22 5962
1、 交换机选购指南 l 设备基本指标:网络接口类型、用户可用插槽数、端口密度。 l 设备功能指标:VLAN划分、堆叠、单播和组播协议支持、可网管。 l 设备性能指标:背板带宽、包转发率、支持的MAC地址数量、服务质量保证。 l 设备可靠性指标:核心交换机是否支持关键模块
信息技术-简答汇总
yanyuyanxin的博客
08-01 4763
信息技术简答题
通配符通配符掩码
weixin_30302609的博客
07-01 3056
路由中的通配符 1.路由配置中的通配符   在路由器的配置中,经常出现通配符。和子网掩码一样,都是以“0”或“1”表示,不过与子网掩码所表示的意思却不一样。   子网掩码所表示的是IP的网络位和主机位,而通配符则表示与IP是否匹配。   通配符同样是32位,和IP地址一一对应,“0”位代表精确匹配,而“1“位代表不许匹配。例如路由器EIGRP的配置中:   RouterA(co...
掩码、反掩码、通配符的区别
qq_45826271的博客
04-17 1744
类型规则作用举例备注掩码连续的 1 和 0IP 地址1 对应网络位,0 对应主机位反掩码连续的 1 和 0路由协议0.0.0.2550 必须匹配,1 无需匹配通配符任意的 1 和 0访问控制列表0.0.255.00 必须匹配,1 无需匹配。
ACL常用的匹配项
qq_32044265的博客
05-29 4727
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
通配符掩码计算
热门推荐
将勤补拙
11-30 2万+
一,通配符掩码 1.通配符掩码的用途和结构 ①用途 通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。 ②结构 通配符掩码中,0表示要检查的位,1表示不需要检查的位 通配符掩码中,可以用255.255.255...
ACL和NAT
xiaogengtongxu的博客
03-25 1254
典型应用场景:在私有网络内部使用私有地址,出口部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址转换成特定的公有地址,而对于“从外到内的流量”,则对数据包的目的地址进行转换。NAPT(网络地址端口转换):从地址池中选择地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址1:n的映射关系,可以有效提高公有地址利用率。当通配符全为1时,表示匹配所有地址。静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
配置多个ip地址时源ip的选择
老张的自言自语
09-02 2187
如果一个主机绑定有多个 IP地址,那么在被动响应和主动发起连接两种方式中,源 IP 地址的选择机制肯定是有所差异的。   主机在接收外部数据包,并发送响应数据包时,响应源地址显然就是客户端请求的地址,这是非常容易理解的,如客户端向主机的1.1.2.3:80 发起请求,那么主机响应数据包的源 IP 地址一定是 1.1.2.3 。   那么当主机对外主动发起请求时,数据包的源IP 地址...
H3C 通配符掩码
weixin_30659829的博客
07-10 436
转载于:https://www.cnblogs.com/fanweisheng/p/11163784.html
network 网络地址 通配符 area 区域
05-30
通配符网络地址具有相同的长度,但是对于网络地址中的每个二进制位,通配符中的对应位都是相反的。 例如,假设我们要将 10.0.0.0/24 这个网络加入到 OSPF 协议中,并且将其归属到区域 0,那么可以使用以下配置: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值