ACL技术与NAT技术

最新推荐文章于 2024-01-23 16:00:18 发布
最新推荐文章于 2024-01-23 16:00:18 发布
阅读量78 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zr2642342915/article/details/131792263
版权

一、ACL

1、什么是ACL

ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。

2、ACL的两种应用及匹配机制

①应用在端口的ACL,用于过滤数据包。

②应用在路由协议,匹配对应的路由协议。

匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效

3、ACL基本种类

2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理

3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。

4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理

4、ACL配置命令

①ACL    2000   ## 创建基础ACL

②rule   permit(deny)  source   1.1.1.1    ##添加规则允许、拒绝  源IP为1.1.1.1的地址

③int g/0/0/1         ##进入要配置的端口

④traffic-filter  oubound(inbound)   ACL 2000  ## 在入口或出口调用ACL 2000 的规则

二、NAT

1、NAT原理及作用

作用:通过对网络地址转换,实现内网地址和公网地址的互相访问

原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。

2、NAT分类

①静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。

②动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。

3、NAT配置

静态nat配置:

①进入企业出口路由器 static nat enable 开启静态nat

②nat static global 1.1.1. 1 inside 2.2.2.2将 静态 nat私网地址1.1.1.1对应公网2.2.2.2

动态nat配置:

①nat address-group 1 200.1.1.10 200.1.1.15  #建立动态nat地址池

②acl number 2000                                             #创建acl  2000

③rule 5 permit source 192.168.1.0 0.0.0.255    #设定规则来自192.168.1.0网段用户允许通过

④int g0/0/1                                                          #进入g0/0/1端口

⑤nat outbound 2000 address-group 1 no-pat   #将规则添加在出口

静态NAT实验

        手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样

拓扑如下:

 

        手动配置PC机及服务器的IP地址;

        路由器AR1上的静态nat配置:

  

 [AR1]int g0/0/0
    [AR1-GigabitEthernet0/0/0]ip add 10.0.0.254 8

    [AR1-GigabitEthernet0/0/0]q

    [AR1]int g0/0/1
    [AR1-GigabitEthernet0/0/1]ip add 100.0.0.1 8

    [AR1-GigabitEthernet0/0/1]nat static enable

    [AR1-GigabitEthernet0/0/1]nat static global 100.0.0.100 inside 10.0.0.1

    [AR1]ip route-static 0.0.0.0 0 100.0.0.2    #配置默认路由

PC1通信测试:

PC2通信测试(没有给PC2的地址进行nat转换,所以PC2是ping不通www.baidu.com服务器的)

动态NAT实验

 拓扑如下:

 

手动配置PC机及服务器的IP地址;

路由器AR1上的动态nat配置:

    [AR1]int g0/0/0

    [AR1-GigabitEthernet0/0/0]ip address 10.0.0.254 8

    [AR1-GigabitEthernet0/0/0]q

    [AR1]int g0/0/1

    [AR1-GigabitEthernet0/0/1]ip address 100.0.0.1 8

    [AR1-GigabitEthernet0/0/1]q

    [AR1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2

    [AR1]nat address-group 1 100.0.0.10 100.0.0.20

    [AR1]acl 2000

    [AR1-acl-basic-2000]rule permit source 10.0.0.0 0.255.255.255

    [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

 

PC1与PC2通信测试:

 

 

洛笙0723
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACLNAT
qq_49175694的博客
05-26 3141
ACL 概述   ACL是由一系列permit或deny语句组成的、有序规则的列表。   ACL是一个匹配工具,能够对报文进行匹配和区分。   通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。   ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类。   ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口
ACL技术NAT技术
shiqiang002的博客
04-13 1011
ACL 1…访问控制列表,由permit或deny组成,对于经过自己的报文进行匹配和区分,是一个匹配用的工具 2.ACL应用, 匹配IP流量 在traffic-filter中被调用 在NAT中被调用 3.分类 利用数据标识 利用名称标识 Basic ACL 2000—2999 可以对源IP地址进行匹配 Advanced ACL 3000—3999 可以对源IP ,目标IP,端口,协议进行匹配 二层ACL 4000—4999 自定义ACL 5000—5
ACLNAT(附配置实例)超详细
这是博客的简介的简介
07-12 3448
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
网络通信原理模拟
spch2008的专栏
06-09 1507
自从接触了思科网络技术学院后,对packet tracer情有独钟,因为这个软件可以模拟真实环境,可以
【实战教程】防火墙常见NAT技术,让你一次看个够!
didiplus
01-18 1440
网络安全的巨浪中,NAT(Network Address Translation,网络地址转换)技术如一道巧妙的幕后英雄,通过修改数据包的地址信息,为网络提供了额外的安全隐匿层。这种技术允许多个内部设备共享同一个公共IP地址,有效遏制了潜在威胁,同时为网络布局提供了更灵活的可能性。在防火墙的舞台上,NAT技术犹如一把神奇的变形剑,为网络安全策略增色添彩,实现了内外网络间的巧妙互动。今天继续接着上一节的内容完成今天的内容,今天主要讲解防火墙上常见的NAT技术
ACLNAT介绍
wf19880114的博客
12-11 813
ACL: accessControl list 访问控制列表 ACL两种作用: 用来对数据包做访问控制(丢弃或者放行)结合其他协议,用来匹配范围 acl 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。 acl种类: 基本acl (2000-2999) :只能匹配源ip地址。 高级acl (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。 二层ACL(4000-4999):根据数据包的源MAc..
贵州大学网络实用技术实验三 ACLNAT配置
12-03
"贵州大学网络实用技术实验三 ACLNAT配置" 本实验报告主要介绍了 ACL(访问控制列表)和 NAT网络地址转换)配置在网络实用技术中的应用。实验的目的是为了加深对 ACLNAT 的理解,并掌握使用 CPT 构建网络...
基于Cisco PacketTrancer的企业/校园双核心热备+WLC、AC无线控制器的无线网络拓扑规划
weixin_47384772的博客
03-12 4607
设计技术动态 vlan ,nat,ospf ACL访问控制列表,HSRP备份冗余,服务器配置,动态主机配置协议(DHCP),FTP,email,IPhone,生成树协议(STP),链路聚合。 无线WLC控制器,无线AP,无线路由,无线网络加密策略。
ensp课程设计(实例)
qq_67802965的博客
11-21 2703
课程设计校园网络topo实例
基于ENSP拓扑,完成NAT实验
最新发布
zysqltq的博客
01-23 341
2.配置R1缺省路由,以及实现PC1-PC2PING通的平板和DNS服务器 完成一对多的通讯。3端口映射(以实现客户端可以通过域名访问HTTP1 使用地址访问HTTP2。2.实现PC1-PC2ping通平板和DNS服务器。配置完成,来检测是否成功;
ENSP网络综合实验(WALN+隧道+NAT
149527
05-15 5333
接入层:用户角色包括员工(接入方式包括有线和无线)和访客(仅能通过无线接入),办公WIFI密码认证,访客WIFI无认证。PC3/4 ping 通 192.168.77.1 (公司ftp)设备接入、汇聚交换机(S3700、S5700)、路由器(AR3200)为例。1、PC1/PC2 ping 通 10.1.77.0/24(公司主机)3、Clinet4 可以访问ftp服务器 (公司)当拨号网络链路失效、切换到固定链路g/0/0。1.配置链路聚合、IP地址、VLAN划分。
基于ensp校园网络(完整文档+ensp拓扑图)
热门推荐
qq1325513482的博客
07-14 2万+
大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。 作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。 在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够
NAT实验
xxyy121的博客
07-14 755
NAT路由实验
NAT/NAPT地址转换(内外网通信)技术详解【华为eNSP】
一键难忘的博客
07-13 4629
我们之前已经解决了,DHCP,VRRP,MSTP,OSPF的需求了,我们来解决一下内外网通信的需求:先看一下我们现在的拓扑图: 现在的需求就是我们内网的无个部门可以对外网进行通信。 效果如下: A部门可以ping外网的PC机: 看一下我们抓到的包: 我们的A部门设备的ip地址是:192.168.10.123,而我们抓到的报文显示是:119.119.119.1,这里就是我们的NAT/NAPT技术,将内网的ip先映射为一个ip地址与外网进行通信。 实验过程相当简单哈: 先去核心层的路由器 去G0/0/0端
Cisco Packet Tracer NAT模拟实验
夏虫不可语冰
12-17 3244
Cisco Packet Tracer NAT模拟实验 by: 铁乐猫 date: 2020-09-22 cisco packet tracer : 7.2.2 NAT简介 NAT允许将私有IP地址映射到公网(合法的Internet IP) 地址,以此来做到多个内网ip共用一个公网ip之类。 NAT使用场景: 需要连接Internet,但是你的主机没有公网IP地址 更换了一个新的ISP, 需要重新组织网络 需要合并两个具有相同网络地址的内网 NAT一般应用在边界路由器中,比如公司连接Internet的路
高级ACLNAT
a1059460733的博客
07-04 114
三、nat server。
NAT-HCIA阶段综合实验
mxxcxy的博客
04-19 992
PC1~PC4通过DHCP服务获取IP地址,此时内网已经全网可达,并且可以通过域名访问http服务器。在PC1上无法测试,将PC1替换为一个路由器可以实现ACL的功能,但是在R2的路由器上可以远程登录到R1。根据拓扑结构图以及要求可知,本拓扑结构一共拥有5个网段,包括3个内网网段和两个给定网段。给一整个26位子网掩码的网段用于两个接口,过于浪费,所以给与4个地址的网段即可。​并做好80端口映射,配置完后,外网的client可以访问内网的网址。1、ISP路由器只能配置IP地址,之后不得进行其他配置。
CIDR地址划分与NAT技术详解
"本文主要介绍了网络中的CIDR地址块划分以及NAT技术网络200.1.1.0/24使用CIDR /27进行划分,产生8个子网,每个子网地址分别为200.1.1.0/27到200.1.1.224/27。CIDR是Internet上的地址分配方法,它通过聚合路由减少...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值