第十三集 ACL和NAT技术

最新推荐文章于 2023-02-18 17:44:19 发布
最新推荐文章于 2023-02-18 17:44:19 发布
阅读量179 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56656561/article/details/115675388
版权

●理解ACL的基本概念

●理解基本ACL及高级ACL的区别,识别应用场景

●掌握基本ACL及高级ACL的基础配置

●NAT的原理

●NAT的优缺点

●NAT的类型

● 实验

ACL的概述:
●访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、 有序规则的列表,它通过匹配报文的相关信息实现对报文的分类
●ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤), ACL只是- -个匹配用的工具
●ACL除了能够对报文进行匹配,还能够用于匹配路由
●ACL是一-个使用非常广泛的基础性工具,能够被各种应用或命令所调用
ACL过滤报文提高网络的安全性

ACL的应用:
●匹配P流量(可基于源、目IP地址、协议类型、端口号等元素)
●在Trafficfilter中被调用
●在NAT中被调用
在路由路由策略中被调用
在IPSec VPN中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他…
关于ACL的应用我们用于最为广泛的是前三个

ACL的种类:
Basic ACL(基础)原ip地址进行匹配 2000-2999
Advanced ACL(高级 )原IP目标ip源端口 ,目标端口,内容更加精准3000-3999
二 层 ACL 4000-4999
自定义 ACL 5000-5999( 官方)

ACL的匹配顺序

注:
5和10代表步长
permit 允许
deny否认
隐含的规则 就是放空所有 permit any

Wildcard(通配符):

网络掩码通配符
例如255.255.255.0例如0.0.0.255
用于指示IP地址中,哪些比特是网络部分,哪些是主机部分。用于指示IP地址中,哪些比特是网要严格匹配,哪些比特位则无所谓。
网络掩码中为1的比特表示网络部分通配符中为1的比特表示无需匹配。
网络掩码中为0的比特表示主机部分。通配符中为0的比特表示需严格匹配。

注:“1”表示无所谓 “0”表示需匹配

NAT的原理:
NAT ( Network Address Translator )的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。

NAT的优缺点

优点缺点
缓解公网地址紧缺问题存在转发延迟
解决IP地址空间冲突或重叠的问题端到端寻址变得困难
网络扩展性更高,本地控制也更容易某些应用不支持NAT
内网结构及相关操作对外变得不可见NAT产生的表项需占用设备的内存空间
增加了安全性设备性能问题

NAT的类型:
【1】源IP地址转换( Source IP address-based NAT ) :
网络地址及端C转换( NAPT )
No-Port地址转换( No-PAT )
目的IP地址转换( Destination IP address-based NAT ) :
NAT Server
目的NAT

实验


ei]sysname sw1
[sw1]vlan b 10 20 100
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a 
[sw1-Ethernet0/0/1]p d v 20
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 10
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l t
[sw1-Ethernet0/0/3]p t a v a
  
[Huawei]sysname sw2
[sw2]vlan b 10 20 100
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]p l t
[sw2-GigabitEthernet0/0/1]p t a v a
[sw2-GigabitEthernet0/0/1]int vlanif 10 
[sw2-Vlanif10]ip add 192.168.10.254 24  
[sw2-Vlanif10]int vlanif 20    
[sw2-Vlanif20]ip add 192.168.20.254 24
[sw2-Vlanif20]int g0/0/2
[sw2-GigabitEthernet0/0/2]p l a
[sw2-GigabitEthernet0/0/2]p d v 100
[sw2-GigabitEthernet0/0/2]int vlan 100
[sw2-Vlanif100]ip add 192.168.100.100 24
[sw2]ip route-static 10.0.0.0 24 192.168.100.200  
[sw2]ip route-static 50.0.0.0 24 192.168.100.200
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.100.200 24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 10.0.0.1 24
[r1]ip route-static 192.168.10.0 24 192.168.100.100 
[r1]ip route-static 50.0.0.0 24 10.0.0.2
[r1]acl 2000 
[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1]acl 3000 
[r1-acl-adv-3000]rule permit ip source 50.0.0.0 0.0.0.255 
[r1-acl-adv-3000]q 
[r1]int g0/0/1 
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 50.0.0.10 80 inside 192.168.20.1 80
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]q

[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 10.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 50.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.100.0 24 10.0.0.1
[r2]ip route-static 192.168.10.0 24 10.0.0.1
[r2]ip route-static 192.168.20.0 24 10.0.0.1




实验二

[Huawei]sysname sw1
[sw1]user-interface console 0
[sw1-ui-console0]idle-timeout 0 0
[sw1]vlan b 10 20
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 10
[sw1-Ethernet0/0/3]int e0/0/4
[sw1-Ethernet0/0/4]p l a
[sw1-Ethernet0/0/4]p d v 20
[sw1-Ethernet0/0/4]int e0/0/5
[sw1-Ethernet0/0/5]p l t
[sw1-Ethernet0/0/5]p t a v a
[sw1-Ethernet0/0/5]q
[Huawei]sysname r1
[r1]user-interface console 0
[r1-ui-console0]idle-timeout 0 0
[r1-ui-console0]q
[r1]int g0/0/0.1
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.254 24
[r1-GigabitEthernet0/0/0.1]a b e
[r1-GigabitEthernet0/0/0.1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.254 24
[r1-GigabitEthernet0/0/0.2]a b e
[r1-GigabitEthernet0/0/0.2]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 30.0.0.1 24
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 10.0.0.0 24 30.0.0.2

[r2]user-interface console 0
[r2-ui-console0]idle-timeout 0 0
[r2-ui-console0]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 30.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 10.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.10.0 24 30.0.0.1
[r2]ip route-static 192.168.20.0 24 30.0.0.1

你的秃头小宝
关注
ACLNAT
weixin_73462212的博客
10-01 1501
ACLNAT
12.第十二章:ACLNAT
Gloom丿郁的博客
11-04 694
ACL ACL:访问控制列表 读取访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 文章目录ACLACL:访问控制列表1.1ACL的两种作用1.2访问控制列表1.3访问控制列表的种类1.4访问控制列表在接口应用的方向1.5访问控制列表的处理过程1.6ACL原理1.7ACL的应用原则1.8应用规则ACL基本命令实验拓扑
ACL Route NAT顺序的问题
GhostRaven的博客
05-06 1126
数据包从Inside-to-Outside出去的时候是acl(input) routing nat acl(output) 数据包从Outside-to-Inside进来的时候是先 acl(input) nat routing acl(output) 可以理解为,如果outside的进来的如果不nat,则找不到要访问的地址。 详细的如下图: ...
NATACL执行顺序解析
weixin_34273046的博客
11-21 1607
防火墙数据包处理流程图ACLNAT的顺序不是固定的,各厂商数据流先ACL或先NAT不一。引用《浅析ACLNAT的执行顺序》—张少芳 一文中的结论如下:H3C 出站:先匹配出站ACL,然后进行地址转换 入站:先进行地址转换,然后匹配入站ACLCISCO 出站:先进行地址转换,然后匹配出站ACL 入站:先匹配入站ACL,然后...
ACLNAT
最新发布
Thewei666的博客
02-18 936
3.NAPT:网络地址端口转换,在动态NAT的基础上,使用了pat(端口地址转换)的转换,可以使用大量私有IP地址映射少量公有IP地址,可以有效的提高公有地址利用率。静态NAT存在两个问题:1.静态NAT地址一对一转换并未节约IP地址(增加IP控制)2.某些私有IP地址并不一定是一直使用(未充分使用公有IP地址空间)私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的IP地址。注意:参数no-pad ,默认是pad,使用端口映射,no-pat---非端口地址转换。
ACL技术NAT技术
shiqiang002的博客
04-13 1013
ACL 1…访问控制列表,由permit或deny组成,对于经过自己的报文进行匹配和区分,是一个匹配用的工具 2.ACL应用, 匹配IP流量 在traffic-filter中被调用 在NAT中被调用 3.分类 利用数据标识 利用名称标识 Basic ACL 2000—2999 可以对源IP地址进行匹配 Advanced ACL 3000—3999 可以对源IP ,目标IP,端口,协议进行匹配 二层ACL 4000—4999 自定义ACL 5000—5
ACLNAT以及PAT的配置及应用
Desire_cure_的博客
01-06 897
访问控制列表(ACL) 访问控制列表概述 读取第三层,第四层包头信息 根据预先定义好的规则对包进行过滤 访问控制列表的工作原理 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 访问控制列表的处理过程 当数据包从接口通过时,由于接口启用了ACL,此时路由器会对报文进行检查,做出相应的处理,若匹配到允许方通,则放行;若匹配到拒绝,则丢弃;若未匹配到,则匹配下一条。 ACL种类 基本ACL(2000-2999):只能匹配源ip地址 高
HCIA最后一次笔记(OSPF、ACL、VLAN、NAT
qq_47409343的博客
12-30 455
OSPF — 开放式最短路由优先协议 1,OSPF使用SPF算法计算路径信息,不会出现环路,并且,OSPF使用带宽 作为开销值进行选路,相对更合理一些,所以,选路的层面优于RIP; 2,因为OSPF计时器时间短于RIP,所以,从收敛速度的角度看,OSPF优于 RIP; 3,从单个数据包的角度来看,因为OSPF传递的是拓扑信息(链路状态信 息 — LSA),所以,数据量远远大于RIP的单个数据包。但是,因为RIP 存在30S一次的周期更新,整体上看,占用资源量巨大;再加上OSPF本身 存在很多减少更新量的手段
ACL(访问控制列表)、NAT(网络地址转换)概述及命令应用
jiaoshu__的博客
04-14 2163
一、ACL(访问控制列表)概述 1.1ACL概述 ACL(访问控制列表)是应用在路由器接口的指令列表。 基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头的信息,如源地址、目的端口、目的地址、源端口,通过规则,对包进行过滤,从而达到访问控制的目的。 1.访问控制列表ACL是由一系列permit 或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; 2.ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,
第七章 NAT综合小实验一【SNAT+DNAT+ACL
沐一清
09-04 1215
实验要求: A 内网主机PC1在VLAN10 网段,内网服务器server1在VLAN20 网段。 B 在内网环境中,内网主机PC1通过NAT地址转换只能访问外网服务器server2,不能访问外网76.12.12.0和76.12.20.0网段的任何设备。 C 外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器(server1)。 实验思路: 实验步骤: ...
网络知识 ACL NAT IPv6
惨绿少年 | 欢迎访问CLSN博客站点 http://clsn.io
10-11 581

 第1章 ACL 访问控制列表
 访问控制表(Access Control List,ACL),又称存取控制串列,是使用以访问控制矩阵为基础的访问控制方法,每一个对象对应一个串列主体。
 访问控制表描述每一个对象各自的访问控制,并记录可对此对象进行访问的所有主体对对象的权限。
 1.1 为什么要用ACL
 流量控制
 匹配感兴...
策略路由、路由与NAT的顺序
weixin_33898876的博客
02-25 1181
Inside-to-Outside •If IPSec then check input access list •decryption - for CET •check input rate limits •input accounting •policy routing •routing •redirect to web cache...
华为设备ACLNAT技术
weixin_30655219的博客
07-08 594
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的...
简单了解ACLNAT!
guguai7的博客
04-26 2873
ACLNAT! ACLNAT!ACLNAT!一.ACL二.NAT 一.ACL 二.NAT
ACLNAT配置
m0_50749129的博客
09-28 825
【实验拓扑】 【实验过程】 根据拓扑图配置对应的接口ip 配置RIP协议,宣告网段 [R1]rip [R1-rip-1]network 192.168.1.0 [R1-rip-1]network 192.168.2.0 [R2]rip [R2-rip-1]network 192.168.4.0 [R2-rip-1]network 192.168.3.0 [R2-rip-1]network 192.168.2.0 [R3]rip [R3-rip-1]network 192.168.3.0 [R3-ri
企业实用的NAT+ACL,网工必备的技术
Bert_Wang的博客
07-29 488
一、网络地址转换(NAT,Network Address Translation) 属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 静态转换是指将内部网络的私有I
CCNA实验指南:13个实战项目涵盖交换机到NAT
CCNA实验手册是一本针对Cisco Certified Network Associate (CCNA)认证的学习资料,它通过一系列实战实验帮助学习者深入理解网络基础设施的基本配置和技术。本书共包含13个实验,每个实验围绕不同的主题,如交换机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值