目录
一、ACL介绍
1.1 ACL概述
ACL(Access Control List)访问控制表,在网络领域中用于控制数据包在网络设备(路由器、防火墙等)的流动。
1.2 ACL工作原理
当数据包从接口经过时,由于接口启用了ACL, 此时路由器会根据策略对报文做出相应的处理。
1.3 ACL分类
- 基本ACL:编号范围2000~2999,只能控制数据包中的源IP地址(数据从哪个IP过来的)
- 高级ACL:编号范围3000~3999,可以细化到源IP地址、目的IP地址、端口号、协议类型等进行流量过滤,并且提供了更精细的流量控制和安全策略。
1.4 ACL命令格式
- 基本ACL:
acl 2000 #新建表格,供设置的过滤条件放入
rule permit | deny source 匹配的条件(IP地址) 通配符掩码(用于控制匹配范围)
int 靠近目的IP地址的出口 #进入接口模式
traffic-filter outbound acl 2000 #为该端口匹配序号为2000的acl表,数据流出该端口进行过滤
- 高级ACL:
acl (number) 3000 #建立序号3000的表格,number可以省略
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80 #默认编号5,可以放5条条件,拒绝来自192.168.1.1且去往192.168.2.1且端口号为80的TCP协议的流量
#rule + 条数(默认为5) + 协议类型 + source 源IP、通配符掩码 + destination 目的IP、通配符掩码 + destination-port eq(equals等于的意思,还有ln小于和gn大于) 端口号
int 靠近源IP地址的接口 #进入接口模式
traffic-filter inbound acl 3000 #为该端口匹配序号为3000的acl表,数据流入该端口进行过滤
通配符掩码:
匹配ACL控制范围,0代表此位不可以变化,1代表此位可以变化。
如:192.168.1.0/24 若想要其范围在192.168.1.0~192.168.1.3则前三个网络位都不变,最后一位为0展开为0000 0000,最后一位为3展开为0000 0011,只有最后两位可变,所以通配符掩码为0.0.0.3。
0.0.0.0表示都不可变即代表该地址本身,
192.168.1.0的通配符掩码为0.0.0.255,则代表范围为192.168.1.0~192.168.1.255,
192.168.1.0的通配符掩码为0.0.0.244,则代表范围为前三位为192.168.1固定不变且最后一位为0~255之间的所有偶数,2、4、6、8、...、244,
192.168.1.1的通配符掩码为0.0.0.244,则代表范围为前三位为192.168.1固定不变且最后一位为0~244之间的所有奇数,1、3、5、7、...、255。
1.5 ACL应用原则
- 基本ACL:尽量用在靠近目的IP地址的端口(出口)
- 高级ACL:尽量用在靠近源IP地址的端口(接口)
二、NAT介绍
2.1 NAT概述
NAT(Network Address Translation,网络地址转换)是一种网络通信技术,用于将一个网络地址空间映射到另一个网络地址空间,NAT技术的主要作用是实现内部网络与外部网络之间的通信转换,并在一定程度上提高网络的安全性,同时缓解IPv4地址短缺问题。
2.2 NAT工作原理
数据包从路由器出去时将源IP地址由私网改为公网,数据包从路由器回来时将目的IP由公网改为私网。
2.3 NAT分类
- 静态NAT:手动将一个私网地址与公网地址进行关联,两者一一对应,缺点与静态路由一样
- 动态NAT:设置一个地址池,池中放公网地址,私网地址将随机与池中公网地址对应
- NATPT:内网服务器的相应端口映射成路由器公网IP地址的相应端口
- Easy-IP:将IP地址和端口号一起转换,将所有的私网地址映射成路由器当前接口的公网地址
2.4 NAT命令格式
- 静态NAT:
int g0/0/1 #进入接口模式
ip add 200.1.1.1 24 #配置IP
nat static enable #开启静态NAT
nat static global 200.1.1.100 inside 192.168.1.1 #将私网地址对应公网地址200.1.1.100
dis nat static #查看配置
<Huawei>dis nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.1.1.100/----
Inside IP/Port : 192.168.1.1/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
- 动态NAT:
nat address-group 1 200.1.1.10 200.1.1.15 #建立序号为1地址池,放入公网地址10~15
acl number 2000 #创建序号为2000的acl表
rule 5 permit source 192.168.1.0 0.0.0.255 #给需要地址转换的 网段添加规则
int g0/0/1 #进入接口模式
nat outbound 2000 address-group 1 no-pat #添加规则
- NATPT:
int g0/0/1 #进入接口模式
ip address 200.1.1.1 255.255.255.0 #配置IP地址
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
#取消之前的配置
nat server protocol tcp global current-interface www inside 192.168.1.100 www
#配置当前私网IP+80端口对应公网地址+80端口
nat static enable #开启nat
- Easy-IP
acl 2000 #建立序号为2000的acl表
rule permit source 192.168.1.0 0.0.0.255 #添加条件
int g0/0/1 #接口模式
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
#取消之前的配置
nat outbound 2000 #为端口配置序号为2000的acl表,并且在数据从端口流出时进行过滤
display nat session all #展示所有nat配置