12.网络技术——ACL跟NAT的友好碰撞(后附练习题)

最新推荐文章于 2023-11-30 01:12:27 发布
最新推荐文章于 2023-11-30 01:12:27 发布
阅读量525 收藏 3
点赞数 1
分类专栏: 网络技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55299423/article/details/115670995
版权

目录

1.ACL的介绍

1.1 访问控制列表ACL技术

access control list 翻译过来就是:接入控制列表=访问控制列表
这个东西就像人要有原则性一样,什么样的事情我必须要干,什么样的事情我不可以干
人=路由器/交换机,好多不同的人有不通的原则=好多不同的RT/sw有不同的ACL
ACL是由一系列permit 或deny语句组成,有规则的列表,通过匹配报文的相关信息实现对报文的分类
ACL本身只能用于报文的分类和区分,无法过滤,如果需要过滤,需要特定的机制来实现,比如交换机接口上配置traffic-filter命令调用
ACL除了能对报文进行匹配,还能匹配路由
ACL的功能: 数据的过滤/允许、策略路由、特殊数据流的控制

1.2标识ACL

利用数字标识ACL
利用名称标识ACL

1.3 ACL的分类

基本访问控制列表
高级访问控制列表

实际上有四种分类:
基础标识范围 2000-2999
对源IP地址进行匹配,定义我的源 ,运用最广泛

高级标识范围 3000-3999
除了对源IP 目的TP 源端口 目的端口 协议 都可以制定规则,内容更加丰富,内容更加精准

二层ACL 4000-4999
对数据链路层,源MAC 目的MAC 数据帧 进行过滤

自定义 ACL
官方给的范围是5000-5999 运用名称标识

1.4 ACL的应用

匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
在Traffic-filter中被调用
在NAT中被调用
在路由路由策略中被调用
在IPSec VPN中被调用
在防火墙的策略部署中被调用
在QoS中被调用

1.5 通配符

通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严 格匹配,哪些比特位则无所谓。
通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络 掩码完全不同。

2.NAT的介绍

2.1 NAT的原理

NAT ( Network Address Translation ) 中文意思是"网络地址转换",它是一个IETF(Internet Engineering Task Force, Internet工程任务组) 标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址。

通过IP报文头部,自动替换报文头中的源地址和目的地址,实现私网用户通过私网IP访问公网的目的。

2.2 公网IP地址和私网IP地址

公网地址: 公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的 唯一-性,公网地址由IANA ( Internet Assigned Number Authority )这个国际组织负责分配。一台网络设备如果需要使用公网地址,就必须向ISP ( Internet Service Provider )或注册中心申请。
私有地址: 为了满足- -些实验室、公司或其他组织的独立于Internet之外的私有网络的需求, RFCA ( Requests For Comment ) 1918为私有使用留出了三个IP地址段。私有 地址不能在Internet上被分配,因而可以不必申请就可以自由使用。

2.3 NAT类型:

静态 NAT ( Static NAT )( 一对一 )。将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一直不变的

动态地址 NAT ( Pooled NAT )(多对多)。将内部网络的私有 IP 地址转换为公用 IP 地址时,IP 地址是不确定,随机的,基于地址池来进行公有地址和私有地址的转换

网络地址端口转换 NAPT(Network Address Port Translation)(Port-Level NAT)( 多对一 )。改变外出数据包的源端口并进行端口转换,采用端口多路复用方式。网络地址端口转换NAPT允许多个内部地址映射到同-个公有地址的不同端口

Easy ip
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口.

2.4 NAT优缺点:

优点缺点
缓解公网地址紧缺问题存在转发延迟
解决IP地址空间冲突或者重叠的问题端到端寻址变得困难
网络扩展性更高某些应用不支持NAT
内网结构及相关操作对外变得不可见NAT产生的表项需占用设备的内存空间
增加了安全性设备性能问题

3. 实验习题

3.1 实验一:




sw1:

[Huawei]sysname sw1
[sw1]vlan b 10 20 100
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a 
[sw1-Ethernet0/0/1]p d v 20
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 10
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l t
[sw1-Ethernet0/0/3]p t a v a

sw2:

[Huawei]sysname sw2
[sw2]vlan b 10 20 100
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]p l t
[sw2-GigabitEthernet0/0/1]p t a v a
[sw2-GigabitEthernet0/0/1]int vlanif 10 //单臂路由
[sw2-Vlanif10]ip add 192.168.10.254 24  //网关地址
[sw2-Vlanif10]int vlanif 20    
[sw2-Vlanif20]ip add 192.168.20.254 24
[sw2-Vlanif20]int g0/0/2
[sw2-GigabitEthernet0/0/2]p l a
[sw2-GigabitEthernet0/0/2]p d v 100
[sw2-GigabitEthernet0/0/2]int vlan 100
[sw2-Vlanif100]ip add 192.168.100.100 24
[sw2]ip route-static 10.0.0.0 24 192.168.100.200  //设置静态路由
[sw2]ip route-static 50.0.0.0 24 192.168.100.200

r1:

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.100.200 24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 10.0.0.1 24
[r1]ip route-static 192.168.10.0 24 192.168.100.100 //静态路由
[r1]ip route-static 192.168.20.0 24 192.168.100.100
[r1]ip route-static 50.0.0.0 24 10.0.0.2
[r1]acl 2000	 //设置acl表
[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1]acl 3000	//可不设定
[r1-acl-adv-3000]rule permit ip source 50.0.0.0 0.0.0.255 //可不设定
[r1-acl-adv-3000]q //可不设定
[r1]int g0/0/1	
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 50.0.0.10 80 inside 192.168.20.1 80
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]q

r2:

[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 10.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 50.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.100.0 24 10.0.0.1
[r2]ip route-static 192.168.10.0 24 10.0.0.1
[r2]ip route-static 192.168.20.0 24 10.0.0.1




3.1 实验二:

实验要求:
全网互通
配置ACL使得vlan 10和vlan 20不通
配置ACL使r1 不能访问webserver


sw1:

[Huawei]sysname sw1
[sw1]user-interface console 0
[sw1-ui-console0]idle-timeout 0 0
[sw1-ui-console0]q
///
[sw1]vlan b 10 20
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 10
[sw1-Ethernet0/0/3]int e0/0/4
[sw1-Ethernet0/0/4]p l a
[sw1-Ethernet0/0/4]p d v 20
[sw1-Ethernet0/0/4]int e0/0/5
[sw1-Ethernet0/0/5]p l t
[sw1-Ethernet0/0/5]p t a v a
[sw1-Ethernet0/0/5]q

r1:

[Huawei]sysname r1
[r1]user-interface console 0
[r1-ui-console0]idle-timeout 0 0
[r1-ui-console0]q
/////
[r1]int g0/0/0.1
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.254 24
[r1-GigabitEthernet0/0/0.1]a b e
[r1-GigabitEthernet0/0/0.1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.254 24
[r1-GigabitEthernet0/0/0.2]a b e
[r1-GigabitEthernet0/0/0.2]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 30.0.0.1 24
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 10.0.0.0 24 30.0.0.2

r2:

[r2]user-interface console 0
[r2-ui-console0]idle-timeout 0 0
[r2-ui-console0]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 30.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 10.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.10.0 24 30.0.0.1
[r2]ip route-static 192.168.20.0 24 30.0.0.1

这时候实现了全网互通

然后在看到第二题的要求配置ACL使得vlan 10和vlan 20不通
在r1里面配上代码

<r1>sys
Enter system view, return user view with Ctrl+Z.
[r1]acl 2000
[r1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1]acl 2001
[r1-acl-basic-2000]rule deny source 192.168.20.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
///////////////////////////////////////配好acl 2000 跟acl 2001
[r1]int g0/0/0.1
[r1-GigabitEthernet0/0/0.1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0.1
 dot1q termination vid 10
 ip address 192.168.10.254 255.255.255.0 
 traffic-filter outbound acl 2001  //设置的是不允许20.0网段通过,允许10.0网段通过
 arp broadcast enable
#
return
[r1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0.2
 dot1q termination vid 20
 ip address 192.168.20.254 255.255.255.0 
 traffic-filter outbound acl 2000  //设置的是不允许10.0网段通过,允许20.0网段通过
 arp broadcast enable
#
return

可以看到PC1依然可以ping通Server,但无法和vlan 20主机通信,标准ACL生效.

第三个问题是配置ACL使r1 不能访问webserver

r1里加一个代码:

[r1]acl 3000
[r1-acl-adv-3000]dis this
[V200R003C00]
#
acl number 3000  
 rule 5 deny tcp destination-port eq www //不允许任何允许
#
return
[r1-acl-adv-3000]int g0/0/1
[r1-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 30.0.0.1 255.255.255.0 
 traffic-filter outbound acl 3000
#
return

[r1]http server enable 
  This operation will take several minutes, please wait...
Error:Failed to enable HTTP server. //启动http服务器失败
[r1]ping 10.0.0.1 //依旧是可以ping 通的,但是是访问不了的
  PING 10.0.0.1: 56  data bytes, press CTRL_C to break
    Reply from 10.0.0.1: bytes=56 Sequence=1 ttl=254 time=30 ms
    Reply from 10.0.0.1: bytes=56 Sequence=2 ttl=254 time=20 ms
    Reply from 10.0.0.1: bytes=56 Sequence=3 ttl=254 time=20 ms
    Reply from 10.0.0.1: bytes=56 Sequence=4 ttl=254 time=20 ms
    Reply from 10.0.0.1: bytes=56 Sequence=5 ttl=254 time=20 ms

  --- 10.0.0.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/22/30 ms

与之二三事、
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
网络工程师下午考试试题专题专解
abraham的博客
08-10 1万+
01-IPSec VPN的基本配置 环境:接口地址都已经配置完,路由也配置了,双方可以互相通信. 密钥认证的算法2种:md5和sha1 加密算法2种: des和3des IPsec传输模式3种: AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证) ESP加密参数:esp-des(des加密)、esp-3des(3des加密)、esp-null(不对数据进行加密) ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-hmac(...
NATACL的 小实验
m0_73988336的博客
10-28 1337
配置简单的路由协议
第八章 综合NAT小实验2【单臂路由+动态NAT+ACL+FTP检测】
沐一清
09-07 1103
要求1:PC0和PC1通过单臂路由访问 要求2:在R0上做动态NAT,地址池为222.1.1.3-222.1.1.9。使PC0和PC1能够访问服务器server0。 要求3:PC0不能访问服务器server0的ftp。 实验思路: 1.配置交换机SW1。 SW1(config)#vlan 2 【创建VLAN2】 SW1(config-vlan)#vlan 3 【创建VLAN3】 SW1(con...
ACLNAT实验
qq_48107890的博客
04-14 1077
ACL概述 访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具; ACL除了能够对报文进行匹配,还能够用于匹配路由; ACL是一个使用非常广泛的基础性工具,
【软考:网工】华为配置篇——ACL、DHCP和NAT
weixin_49422491的博客
05-23 4922
一、前言 摘自summer老师的专题——B站搜“summer课堂”可看视频哦~ 1、协议篇~ 2、组网~ (1)三层网络架构 • 核心层:流量高速转发,别的基本什么都不做 • 汇聚层:流量汇聚、链路和设备冗余,典型的双 汇聚冗余,另外就是策略控制,各类访问控制列 表在汇聚层进行配置; • 接入层:提供接口,安全准入,比如常见802.1x 配置,端口安全配置均在接入交换机实现; • 楼层接入、楼宇汇聚、网络中心机房核心 (2)组网网络设备 • 路由器交换机:最常用的设备。 • 防火墙:一般部署于网络出
11.网络通信ACL+NAT
最新发布
07-02
11.网络通信ACL+NAT
网络安全技术-IP_ACL知识点总结 NAT工作原理及几个术语介绍.mp3
07-05
网络安全技术-IP_ACL知识点总结 NAT工作原理及几个术语介绍.mp3
贵州大学网络实用技术实验三 ACLNAT配置
12-03
"贵州大学网络实用技术实验三 ACLNAT配置" 本实验报告主要介绍了 ACL(访问控制列表)和 NAT(网络地址转换)配置在网络实用技术中的应用。实验的目的是为了加深对 ACLNAT 的理解,并掌握使用 CPT 构建网络...
网络安全技术- ACL (路由器的访问控制列表)-01 网络安全分类.mp3
07-04
网络安全技术- ACL (路由器的访问控制列表)-01 网络安全分类.mp3
网络技术第6章 网络安全技术 - ACL.pptx
11-01
网络技术第6章 网络安全技术 - ACL】主要介绍了访问控制列表(ACL)和网络地址转换(NAT)的基本概念、原理以及配置方法。访问控制列表是网络安全的重要工具,它通过一系列规则对网络报文进行过滤,实现对网络流量...
ACLNAT
weixin_55609814的博客
03-30 499
ACLNAT一、ACL1.什么是ACL?2.ACL在接口应用的方向3.ACL的工作处理过程4.ACL的作用和分类二、NAT1.什么是NAT2.NAT的作用和分类 一、ACL 1.什么是ACL? 相对于计算机文件系统,访问控制列表是加到对象的权限列表。ACL指定哪些用户或系统进程被授予对对象的访问权限,以及允许对给定对象进行哪些操作。典型ACL中的每个条目指定一个对象和一个操作。 2.ACL在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理
NAT网络地址习题
WangandTang的博客
12-29 2031
第一步 配置ip 打开http服务dns服务 第二部 给r1进行一对多配置 [r2]acl 2000 [r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 [r2-acl-basic-2000]q [r2]interface GigabitEthernet 0/0/2 [r2-GigabitEthernet0/0/2]nat outbound 2000 r1]acl 2000 [...
访问控制列表ACL练习题(作业)
qq_45913942的博客
06-15 5112
访问控制列表ACL练习题 姓名: 班级:班级-1 成绩: 96.9分 作答记录 一.单选题(共32题,100.0分) 1 访问控制列表配置中,操作符“gt portnumber”表示控制的是_____________。 A、 端口号小于此数字的服务 B、 端口号大于此数字的服务 C、 端口号等于此数字的服务 D、 端口号不等于此数字的服务 正确答案: B 我的答案:B 得分: 3.1分 2 某台路由器上配置了如下一条访问列表 acess-list 4 permit 202.38.160.1
HCIA-Datacom题库(自己整理分类的)_55_ACL单选【21道题】
2301_80961833的博客
11-30 1689
(争议)8.如果ACL规则中最大的编号为12,缺省情况下,用户配置新规则时未指定编号,则系统为新规则分配的编号为?本接口可以和其它路由器建立OSPF的邻居关系。本接口不转发收到的SNMP报文。本接口不转发收到的FTP报文。本接口不转发ICMP报文。基于特定目的地址的网络流量。基于特定源MAC地址的流量。基于特定端口号的网络流量。基于特定源地址的网络流量。基于特定用户名的网络流量。
关于mac 上传、下载linux服务器sftp命令
weixin_42178377的博客
09-09 1555
二话不说,直接贴命令 root 是用户名 xxx.xx.x.xx 是ip地址 sftp root@xxx.xx.x.xx(ip地址) 连接进行输入密码即可执行: 上传: Put 本地地址 线上地址 下载: get 线上地址 本地地址
锐捷NAT+ACL理论讲解与实验配置
m0_49864110的博客
10-08 6077
如果映射为于出接口IP同网段的其它IP地址,由于设备不对该IP地址的ARP请求进行回应而导致映射失效(设备认为这是一台与本出口在同一网段的其它设备地址,而不是自身的地址,不对该IP地址的ARP请求进行回应)ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不再往下匹配其他ACE条目。:外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,认为它是一个内部的主机而非外部主机)
NATACL执行顺序解析
weixin_34273046的博客
11-21 1580
防火墙数据包处理流程图ACLNAT的顺序不是固定的,各厂商数据流先ACL或先NAT不一。引用《浅析ACLNAT的执行顺序》—张少芳 一文中的结论如下:H3C 出站:先匹配出站ACL,然后进行地址转换 入站:先进行地址转换,然后匹配入站ACLCISCO 出站:先进行地址转换,然后匹配出站ACL 入站:先匹配入站ACL,然后...
华三模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 3882
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
标准ACL配置练习
weixin_50339832的博客
06-13 1142
标准ACL配置练习

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值