ACL与NAT

目录

一、ACL

(一)ACL基本理论

(二)ACL的类型

1.基本ACL

2.高级ACL

3.二层ACL

(三)基本原理

(四)项目实验

通配符掩码

二、NAT

(一)基本理论

(二)工作原理

(三)静态NAT与动态NAT

1.静态NAT

2.动态NAT

3.NATPT(端口映射)

4.Easy-IP


一、ACL

(一)ACL基本理论

ACL(Access Control List)访问控制列表是一种网络安全机制,用于过滤和控制网络中的数据流量。它可以根据源IP地址、目的IP地址、端口号、协议类型等信息,来允许或拒绝数据包的传输。普通ACL

(二)ACL的类型

1.基本ACL

ACL 2000-2999 只能限制源IP地址

2.高级ACL

ACL 3000-3999 依据数据包当中的源、目IP地址和源、目的端口、协议,匹配数据

3.二层ACL

ACL4000-4999 MAC、VLAN-ID、802.1q

(三)基本原理

1.规则定义

在创建ACL时,需要定义一系列的规则,每个规则都包含一个匹配条件和一个操作。

2.匹配条件

匹配条件可以是源IP地址、目的IP地址、源端口号、目的端口号、协议类型等信息。

3.操作

操作可以是允许(permit)或者拒绝(deny)。如果数据包与某个规则的匹配条件相符,那么就会执行该规则所指定的操作。

4.顺序执行

ACL中的规则是按照一定的顺序执行的。当数据包进入网络时,会依次检查每个规则,直到找到第一个匹配的规则为止。

5.应用范围

ACL可以应用于路由器、交换机、防火墙等设备,以及操作系统和应用程序中。

6.灵活配置

ACL支持灵活的配置方式,可以根据不同的需求来定义各种复杂的规则。

7.安全保护

通过使用ACL,可以有效地防止非法访问、攻击和病毒传播,提高网络的安全性

(四)项目实验

配置完相关地址后,在没有任何操作的情况下,都是可以联通的

下面开始制定ACL规则,使client1不能访问server1,可以访问server2

配置路由器

<Huawei>u t m 
Info: Current terminal monitor is off.
#关闭提示信息
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#进入系统模式
[Huawei]sys R2
#更改名字
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 192.168.3.254 24

#配置IP地址

[R2-GigabitEthernet0/0/2]q
[R2]acl 2000	#基本acl 列表    
[R2-acl-basic-2000]rule (规则编号) deny source 192.168.1.1 0

#拒绝该地址访问  规则编号可加可不加,不加默认为5,规则执行由上到下,如果想先执行其它规则,再此编辑规则时在该位置添加1-4的编号

[R2-acl-basic-2000]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#数据流向    把该规则作用在靠近目标地址的出口

通配符掩码

  • 0:表示这个位置上的IP地址位必须严格匹配。
  • 1:表示这个位置上的IP地址位可以任意取值。

例如,一个常见的通配符地址是 0.0.0.255,它对应的子网掩码是 255.255.255.0。这意味着:

  • IP地址的前三个字节(八位)是固定不变的。
  • 第四个字节(八位)的最后一位可以任意取值。

此时使用ping测试server1和2的联通性

高级ACL可以访问服务

在服务器里有http服务和ftp服务,随便选一个文件夹启动

client1用户现在是可以访问http服务和ftp服务的

现在设置client1用户无法访问http服务,这要使用到高级ACL

[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]undo traffic-filter outbound

#删除普通acl配置

[R2-GigabitEthernet0/0/1]acl 3000
	
[R2-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 de
stination-port eq 80

#这条命令的意思是:不让192.168.1.1 访问192。168.2.1 的tcp 80端口

[R2-acl-adv-3000]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
将该规则配置在进口,防止数据在路由器打转浪费资源

再去访问的话就会显示连接失败

二、NAT

(一)基本理论

NAT(Network Address Translation)网络地址转换是一种将私有IP地址转换为公有IP地址的技术,以实现多个设备共享一个公网IP地址,并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。

(二)工作原理

NAT的工作原理如下:

1.内部网络

在内部网络中,设备使用的是私有IP地址,这些地址不会被路由到公共互联网上。

2.路由器上的NAT配置

路由器上需要启用NAT功能,并配置至少一个公网IP地址作为出口地址。

3.数据包发送

当内部网络中的设备向外部网络发送数据包时,路由器会将数据包的源IP地址和端口号替换为自己的公网IP地址和一个新的端口号。

4.建立映射表

路由器会创建一个映射表,记录下每个内部IP地址及其对应的公网IP地址和端口号。

5.响应数据包接收

当外部网络返回的数据包到达路由器时,路由器会根据映射表找到对应的内部IP地址,并将数据包转发给该设备

6.映射表维护

如果长时间没有数据包经过某个映射关系,路由器可能会删除这个映射,以释放资源。

(三)静态NAT与动态NAT

1.静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一 一对应

按图片信息将IP地址配置好

PC去ping 200.0.0.1是可以通的。200.0.0.2不能通

输入:nat static enable 开启静态NAT

输入:nat static global 200.0.0.10 inside 192.168.1.1

路由器收到来自私网地址192.168.1.1的数据包,自动将该地址转化为公网地址200.0.0.10

再去ping就可以联通了

如果想让PC也可以联通的话,需要一个新的公网地址做关联

2.动态NAT

首先undo掉之前的静态NAT

[QY]nat address-group 1 200.0.0.20 200.0.0.50

#建立地址池

[QY]acl 2000

[QY-acl-basic-2000]rule permit source 192.168.1.0   0.0.0.255

#允许这个网段的IP通过

[QY-acl-basic-2000]q
[QY]int g0/0/1

[QY-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat(不带端口号)

#配置到outbound 

这个时候PC1和PC2都可以ping通了

输入display nat session all查看一下详细信息,从这里可以看出,将地址转成之前建立的地址池的范围内

3.NATPT(端口映射)

内网服务器对外提供服务,可以让用户访问内网服务器

将这三个地址配好

在企业出口做默认路由

ping 200.0.0.1测试一下

这个时候查看http服务显示失败,因为路由器不提供七层服务,通过将服务器与路由器做关联之后就可以访问成功了

[QY]int g0/0/01
[QY-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 200.0.0.1 255.255.255.0 
 nat outbound 2000 address-group 1 
#
return
[QY-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1

#将这条静态nat取消掉

[QY-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www in
side 192.168.1.100 www

#current-interface:当前接口
global:公网
WWW :80
当前接口的公网地址 200.0.0.1 80 与192.168.1.100 80 做关联

Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.

Are you sure to continue?[Y/N]:y

4.Easy-IP

①使用列表匹配私网的ip地址

②将所有的私网地址映射成路由器当前接口的公网地址

[QY-GigabitEthernet0/0/1]undo nat server protocol tcp global current-interface w

ww inside 192.168.1.100 www

[QY-GigabitEthernet0/0/1]nat outbound 2000

现在这个网络环境里都可以联通了

查看一下信息可以发现,私网地址都换成了公网地址200.0.0.1 ,每个数据携带的端口号也不一样

相关推荐
久绊A37 分钟前
网络信息系统的整个生命周期
网络
_PowerShell43 分钟前
[ DOS 命令基础 3 ] DOS 命令详解-文件操作相关命令
网络·dos命令入门到精通·dos命令基础·dos命令之文件操作命令详解·文件复制命令详解·文件对比命令详解·文件删除命令详解·文件查找命令详解
_.Switch3 小时前
高级Python自动化运维:容器安全与网络策略的深度解析
运维·网络·python·安全·自动化·devops
2401_850410833 小时前
文件系统和日志管理
linux·运维·服务器
qq_254674413 小时前
工作流初始错误 泛微提交流程提示_泛微协同办公平台E-cology8.0版本后台维护手册(11)–系统参数设置
网络
JokerSZ.3 小时前
【基于LSM的ELF文件安全模块设计】参考
运维·网络·安全
芯盾时代4 小时前
数字身份发展趋势前瞻:身份韧性与安全
运维·安全·网络安全·密码学·信息与通信
心灵彼岸-诗和远方5 小时前
DevOps业务价值流:架构设计最佳实践
运维·产品经理·devops
一只哒布刘5 小时前
NFS服务器
运维·服务器