目录
ACL技术----访问控制列表
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行预先设定好的处理动作。
为什么要使用ACL技术?
ACL作为一种报文过滤器,可以放行符合策略的报文通过,拒绝不符合策略的报文;如果没有ACL,那么网络中的所有报文都可以自由通过网络设备,进而就会引发一些网络安全的问题
ACL的功能
1.访问控制
- 在设备的流入或流出的接口上,匹配流量,然后执行设定的动作------允许或者拒绝
2.抓取流量
- 因为ACL经常与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他协议完成
ACL的匹配规则
自上而下逐一匹配,匹配成功则按规则执行(不再向下匹配),未匹配上则使用默认规则
- 思科设备,默认规则为拒绝所有
- 华为设备,默认规则为允许所有
ACL的分类
- 基本ACL
只能基于ip报文的源ip地址,报文分片标记和时间段信息来定义规则;编号(2000-2999)
- 高级ACL
基于ip报文源目ip地址,源目端口号,协议字段,ip报文优先级,报文长度等信息来定义规则;编号(3000-3900)
- 二层ACL
使用报文的以太网帧头信息来定义规则;编号(4000-4999)
- 用户自定义ACL
即可以使用ipv4报文的源ip地址,也可以使用目的ip地址,协议类型,甚至使用ICMP,TCP,UDP,IPV6等协议的各类字段信息定义规则;编号(5000-5999)
NAT技术----网络地址转换
NAT一般用于内网的出口路由器或者防火墙上
NAT技术,从内到外的流量,设备会通过NAT将数据包的源地址进行转换,转换成特定的公网地址;而对于从外到内,对数据包的目的地址进行转换
什么是NAT?
NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术,由于实现简单,得到了广泛应用。
NAT的类型
- 静态NAT
- 在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有ip和私有ip地址之间的对应关系
- 静态NAT是一个一对一的NAT(一个内网ip对应一个公网ip)
- 动态NAT
- 动态NAT技术地址映射表内容可变
- 一对多,多对多
- 动态NAT在同事间内,还是一个公网ip对应一个私网ip
- 也就是说,当上一个流量回来后,下一个流量才能进行转换ip地址并转发数据
- NAPT
-
网络地址端口转换技术
-
在路由器上维护一张源端口号和私有ip的映射关系表
-
1-65535
-
EASY IP-----华为私有技术----一对多的NAPT(目前最常用的技术)
NAPT工作原理
NAPT在进行地址转换的同时还进行端口转换,可以实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户,真正做到了地址复用。
当Host访问Web Server时,设备的处理过程如下:
- 设备收到Host发送的报文后查找NAT策略,发现需要对报文进行地址转换。
- 设备根据源IP Hash算法从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
- 设备收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。
端口映射(服务映射)
公网用户通过NAT Server访问私网服务器
在某些场合,私网中有一些服务器需要向公网用户提供服务,比如私网中部署的一些Web服务器、FTP服务器等,NAT支持这样的应用,此时可以配置NAT Server来实现公网用户访问私网服务器。如下图所示,在设备上配置NAT Server,固定“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网主机通过该映射关系访问私网服务器功能。
园区网组网
园区网:我们在生活与工作的园区内使用的网络
园区网分类
-
从规模分
-
按照终端用户数量或者网元(网络中的设备)来分
-
大型园区网:终端数超过2000或者网元超过100
-
中型园区网:200-2000,25-100之间
-
小型园区网:小于200或者小于25
-
-
-
从服务对象分
-
封闭园区网
-
开放园区网
-
-
从承载业务分
-
单业务园区网
-
多业务园区网
-
-
从接入方式
-
有线园区网
-
无线园区网
-
-
从不同行业分
-
企业园区网
-
校园网
-
商业园区网
-
政府的园区网
-
园区网路的构成
园区网的发展历程
-
第一代园区网
-
早期使用集线器,园区网被分成多个局域 网,局域网之间使用路由器
-
二层交换机------解决了冲突------BD广播域太大
-
-
第二代园区网
-
万维网,即时通讯
-
三层交换机(路由式交换机)---->三层架构(核心层,汇聚层,接入层)组网方式
-
802.3u(快速以太网)----->100Mbps;802.3ab(吉比特以太网)----->1Gbps
-
淘汰了同样具备竞争力的ATM技术
-
以太网带宽的发展超过了园区网络业务需求的发展
-
-
SNMP(简单网络管理协议)
-
-
第三代园区网
-
2007年----智能移动终端的元年
-
引入WiFi网络
-
需求不足
-
安全威胁
-
NAC(思科网络准入控制系统)
-
-
传统网络结构不利于WiFi部署
-
早期WiFi部署,是队有线网络的延伸,直接挂载胖AP(提供射频信号,认证,管理等)
-
WAC-AP部署模式
-
瘦AP(仅具备提供射频信号的功能)
-
所有的管理同一由WAC(无线接入控制器)进行管理
-
-
-
-
华为推出”敏捷园区网络“、
-
-
第四代园区网
注:部分内容来自华为百科