目录
一、ACL技术
1、ACL概述
ACL(Access Control List)访问控制列表,主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对特定端口的流量起到控制作用。
访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。
利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
2、ACL功能
- 访问控制列表---数据流的抓取和匹配
- 访问控制:ACL+packet-filter(数据包抓取)
- 路由控制:ACL+Route-policy(路由策略)
- 流量控制:ACL+QOS(服务质量)
3、ACL组成
组成:由若干条允许或者拒绝的规则组成
规则的ID的来源:ID范围:<0-4294967294>
手工配置:acl 2000 #创建基本acl访问控制列表
rule permit | deny source 匹配的条件(ip地址) 通配符掩码 #添加条件
自动生成:编号从5开始,是5的倍数
4、ACL分类
-
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
-
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
-
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
5、ACL应用
ACL两种应用:
- 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
- 应用在路由协议-------匹配相应的路由条目( )
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
ACL的应用原则:
- 基本ACL:尽量用在靠近目的点
- 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
6、ACL的匹配规则
- 1、一个接口的同一个方向,只能调用一个acl
- 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
- 3、数据包一旦被某rule匹配,就不再继续向下匹配
- 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
二、NAT技术
1、NAT的概念
网络地址转换(NAT,Network Address Translation)技术作为有效解决地址紧缺问题的方案之一,通过将私有IP地址转换为公有IP地址,实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址,代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间枯竭的问题。
NAT技术具有以下特点:
- NAT允许对内部网络实行私有编址,从而维护合法注册的公有全局编址方案,并节省IP地址。
- NAT增强了公有网络连接的灵活性。
- NAT为内部网络编址方案提供了一致性。
- 私有网络在实施NAT时,不会通告其地址或内部拓扑,有效地保证了内部网络的安全性。
NAT功能既可以部署在路由器、防火墙和核心三层交换机等网络硬件设备上,还可以部署在各种软件代理服务器上,如Proxy等。相对而言,NAT部署在网络硬件设备上时,具有处理速度快、安全性高等特点,适用于大中型企业;而部署在软件代理服务器上时,成本较低、转换速度较慢,适用于小型企业。
2、NAT分类及实验
分类:静态NAT,动态NAT,NATPT(端口映射),Easy-IP。
静态NAT实验
手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
拓扑如下:
手动配置PC机及服务器的IP地址;(此处就不展示了)
路由器AR1上的静态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.0.254 8[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 100.0.0.1 8[AR1-GigabitEthernet0/0/1]nat static enable
[AR1-GigabitEthernet0/0/1]nat static global 100.0.0.100 inside 10.0.0.1
[AR1]ip route-static 0.0.0.0 0 100.0.0.2 #配置默认路由
PC1通信测试:
PC2通信测试(没有给PC2的地址进行nat转换,所以PC2是ping不通www.baidu.com服务器的)
动态NAT实验
动态NAT是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,是随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
拓扑如下:
手动配置PC机及服务器的IP地址;(此处就不展示了)
路由器AR1上的动态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.0.0.254 8
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 100.0.0.1 8
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2
[AR1]nat address-group 1 100.0.0.10 100.0.0.20
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 10.0.0.0 0.255.255.255
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
PC1与PC2通信测试:
NATPT(端口映射)实验
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
拓扑如下:
手动配置PC机及服务器的IP地址;(此处就不展示了)
路由器AR1上的动态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.0.0.254 8
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 100.0.0.1 8
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www inside 10.0.0.3 www
[AR1-GigabitEthernet0/0/1]nat static enable
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2
在HTTP服务器开启HTTP服务:
使用Client1测试:
Easy-IP实验
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
拓扑图如下:
手动配置PC机及服务器的IP地址;(此处就不展示了)
路由器AR1上的动态nat配置:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.0.0.254 8
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 100.0.0.1 8
[AR1-GigabitEthernet0/0/1]q
[AR1]acl 2000
[AR1]rule permit source 10.0.0.0 0.255.255.255
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2
PC机测试:
1947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
