- 1、ACL原理
- 2、ACL两种作用
- 3、访问控制列表(ACL)
- 4、ACL种类
- 5、ACL(访问控制列表)的应用原则
- 6、应用规则
- 7、ACL指令配置
- 1、NAT简概
- 2、NAT的工作原理
- 3、NAT功能
- 4、静态NAT
- 5、NAT配置
1、ACL原理
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应处理。
2、ACL两种作用
1、用来对数据包做访问控制(丢弃或者放行)
2、结合其他协议,用来匹配范围
3、访问控制列表(ACL)
1、源/目标地址
2、源/目标端口
3、ACL种类
基本acl(2000-2999):只能匹配源IP地址。(单向)
高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议。
二级acl(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则
4、ACL(访问控制列表)的应用原则
1、基本ACL,尽量用在靠近目的点
2、高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
5、应用规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里有多个rule规则,按照规则id从小到大排序,从上往下一次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时候,默认隐含放过所有(华为设备)
6、ACL指令配置
[huawei]acl number 2000 ##########创建acl2000
[huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(不可加)
[huawei]int g0/0/1
[huawei-g0/0/1]ip address 192.168.2.254 24
[huawei-g0/0/1]traffic-filter outboud acl 2000 ###接口方向调用acl 2000,outbound代表出方向,inbound代表进入方向
[huawei-g0/0/1] un sh
[huawei]acl number 2001 ###进入acl2001列表
[huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 ###permit代表运允许,source代表来源,掩码部分为反掩码
[huawei-acl-basic-2001]rule deny source any #####拒绝访问,any代表0.0.0.0 255.255.255.255或者rule deny
[huawei]int g0/0/1 ####进入出口接口
[huawei-g0/0/1]IP address192.168.2.254 24
[huawei-g0/0/1]traffic-filter outbound acl 2001
[huawei]acl number 3000 ###########拒绝tcp为高级控制,所以3000起
huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ####拒绝ping
[huawei-acl-adv-3000]rule permit tcp sourec 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
1、NAT简概
NAT (Network AddressI Iransiatlon 义 你为网络地址转块,私有网络地址和公有网络地址,公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。
私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网数字 分配机构)规定将下列的IP地址 保留用作私网地址, 不在Internet. 上被分配,可在一个单位或公司内部使用。
RFC1918中 规定私有地址如下:
A类私有地址: 10. 0.0.0~10.255.255.255
B类私有地址: 172.16.0.0~172. 31.255.255
c类私有地址: 192.168.0.0~192. 168.255.255
2、NAT的工作原理:
1、NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
2、NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内 部主机想要通信,必须主动和公网的一个IP通信, 路由器负责建立一个映射关系,从而实现数据的转发。
3、NAT功能:
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能。
2.安全防护:NAT之内的PC联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端 的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
4、静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
5、NAT配置
第一种:全局模式下设置静态ANT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ####外网口
[R1-int g0/0/1]nat static enable ####在网口上启动nat static功能
第二种:直接在接口上声明nat static
[R1]int g0/0/1 ###外网口
[R1-int -g0/0/1]nat static qlobal 8.8.8.8 inside 192.168.10.10
[R1]dis nat static #######查看nat静态配置信息
####动态nat:多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1、配置外部网口和内部网口的IP地址
2、定义合法IP地址池
[R1]nat addres-group 1 212.0.0.100 212.0.0.200 #####新建一个名为1的nat地址池
3、定义访问控制列表
[R1]acl2000 ##创建acl,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255
4、在网口上设置动态IP地址转换
[R1-acl-basic-2000]int g0/0/1 ###外网口
[R1-int g0/0/1]nat outbound 2000 address-group 1 no-pat ###将ACL2000匹配的数据转换为该接口的IP地址作为源地址(no pat 不做端口转换,只做IP地址转换,默认为pat)
[R1]dis nat outbound ####查看NAT outbound的信息
PAT端口多路复用
PAT又称为NAPT(network address port Translation),他实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。PAT的基本原理是将不同私网地址的报文的源地址IP地址转换为同一个公网地址,但他们转换为该地址的不同端口号,因而仍能够共享同一地址。
PAT有以下作用:
1、改变数据包的IP地址和端口号
2、能够大量节约公网IP地址
3、PAT的类型有以下:
1、动态PAT,包括NAPT和Easy IP
2、静态PAT,包括NAT server
####NAT server: 端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
[R1] int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global9.9.9.9 www inside 192. 168.10.100 www
###在连接公网的接口.上将私网服务器地址和公网地址做一对NAT映射绑定
[R1 -Gigabi tEthernet0/0/1]nat server protocol tcp global current- interface 8080 inside 10.1.1.1 www
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp122 ###端口为21可以直接使用关键字“ftp"代替