一、ACL
ACL介绍
1.ACL概念
ACL(Access Control List,访问控制列表)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并且能够针对不同类型的报文进行不同的处理,从而实现网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
2.ACL规则
一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。
配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号,规则编号决定了规则被匹配的顺序。例如,如果将步长设定为5,则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2,则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长,使规则之间留有一定的空间,用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外,ARG3系列路由器默认规则编号的步长是5。
自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。
3.ACL基本种类
1.基本ACL实验
1.实验拓扑
2.实验目的
防止用户1访问Server1
3.实验配置
如图配置好用户及Server的IP地址及网关
AR1:
测试一下是否能够正常通信
R1ACL配置:
4.实验验证
2.高级ACL实验
1.实验目的
阻止PC1访问WWW服务
2.实验配置
R1上先把ACL2000 down掉
先测试能否正常访问:
配置高级ACL:
在出方向上进行绑定:
3.实验验证
二、NAT
1、NAT原理及作用
作用:通过对网络地址转换,实现内网地址和公网地址的互相访问
原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。
2、NAT分类
1.静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
2.动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
3.NAT实验(Easy-ip)
1.实验目的
PC1和PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。
2.实验拓扑
3.实验步骤
配置PC:
配置路由器接口地址
R1:
R2:
R1上添加ACL并应用NAT来实现PC1,2利用公网地址访问外网
4.验证: