文章目录
- ACL
- ACL作用:
- ACL类型:
- ACL(访问控制列表)的应用原则:
- ACL匹配规则:
- 实验
- NET
- NAT作用
- NAT工作过程:
- NAT功能:
- NAT类型:
- 配置指令
- 总结
ACL
ACL(access list)访问控制列表
-
读取第三层、第四层包头信息
-
根据预先定义好的会泽对包进行过滤
-
通信四元素:源IP地址、目的地址、源端口、目的端口
-
通信五元素:源IP地址、目的地址、源端口、目的端口、协议
ACL作用:
在接口上定义N条规则过滤数据包,要么放行要么丢弃
处理过程
ACL类型:
分类 | 范围 | 概述 |
---|---|---|
基本acl | 2000-2999 | 只能匹配源IP地址 |
高级acl | 3000-3999 | 可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议 |
二层acl | 4000-4999 | 可根据源MAC、目的MAC、二层协议匹配 |
- 基本acl (2000-2999):只能匹配源IP地址
- 高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议
- 二层acl(4000-4999)可根据源MAC、目的MAC、二层协议匹配
ACL(访问控制列表)的应用原则:
- 基本ACL,尽量用在靠近目的点
- 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL匹配规则:
一个接口的一个方向只能调用一个acl,一个acl可配置多条规则,从上往下依次匹配,匹配即停止,华为设备默认放通所有
实验
-
配置PC1
-
配置PC2
-
配置PC3
-
配置Client1
-
配置Sever1
-
配置AR1
-
PC1 ping PC3
禁止192.168.1.0/24网段的设备ping Web服务器
- 配置AR1
- PC1 ping Sever
- PC3 ping Sever
仅允许client1访问Web服务器的www服务
- 配置PC1
- Client 可以通过http访问Server
NET
NAT(Network Address Translation)网络地址转换
NAT作用
通过地址转换实现私有网络和共有网络之间的相互访问
NAT工作过程:
- 数据包从内网发往外网时,NET会将包源IP由私有地址转换成公网地址,当响应的数
- 据包要从外网发给内网时,NET会将包目的IP由公网IP转换成私网地址
NAT功能:
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
NAT类型:
静态PAT
- NAPT
- EASY IP
动态PAT
- Nat server
使用场景:私网客户端主动访问公网服务器时
静态NAT:私网IP和公网IP是一对一的关系,并且需要一对一绑定
动态NAT:私网IP和公网IP是一对一的关系,需要定义公网IP地址池,私网转换时会轮询地址池里的每个IP地址
NAPT:私网IP和公网IP是多对一的关系,公网IP地址池中只定义一个公网IP,私网IP只对应一个自定义的公网IP
EASY_IP:私网IP和公网IP是多对一的关系,直接使用路由器外网接口的IP,私网IP只对应路由器外网接口的公网IP
使用场景:公网客户端主动访问位于私网的服务器时
Nat_server:[公网IP] [公网端口] 和 [私网IP] [私网端口]是一对一的关系,一个公网IP和不同的端口可以对应不同的私网IP和端口
配置指令
设置静态NAT
-
在网口上启动nat static enable功能
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1] int g0/0/1
[R1-GigabitEthernet0/0/1]nat static enable 在网口上启动nat static enable功能 -
直接在接口上声明nat static
[R1]int g0/ 0/1
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10
总结
ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。
NAT是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。