ACL与NAT协议

ACL 访问控制列表

  • ACL是由一系列permit或deny语句组成的、有序规则的列表
  • ACL是一个匹配工具,能够对报文进行匹配和区分

1.匹配ip流量

2.在Traffic-filter中备调用

3.在NAT中被调用

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作

ACL 工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理

ACL种类:

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

acl 2000 建立acl表格2000

书写规则

rule 编号 处理动作 source 通配符

编号:规则的序号

处理动作:permit允许或者deny拒绝

source ip:源ip地址

通配符: 表示了地址的范围

示例:

rule 5 permit source 192.168.1.0 0.0.0.255

应用规则:

进入端口应用规则

基本ACL可以基于哪些条件来定义规程:

1.源IP地址:允许或拒绝特定来源的流量。

2。分片标记:用于识别分片的数据包。

3.时间段信息:定义规则生效的时间段。

高级ACL可以基于哪些条件来定义规程:

1.源IP地址和目的IP地址:允许或拒绝特定来源或目的地的流量。

2.IP协议类型:如TCP、UDP等,用于区分不同类型的流量。

3.端口号:如TCP或UDP的源端口和目的端口,用于识别特定的应用程序流量。

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址

NAT协议

网络地址转换技术

  • 私网ip地址

  • NAT技术原理


1.出去的时候:★★★★★

将源ip地址 由私网改成了公网

2.回来的时候:★★★★★

将目的ip地址 由公网改回私网


  • 子网掩码的作用: 连续的1 代表网络位

  • 通配符掩码:

    可以0 1穿插

  • 静态NAT

    工程师手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样

bash 复制代码
配置好地址:

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 
#注意不能直接使用 接口地址200.1.1.1

dis nat static
<Huawei>dis nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.1.1.100/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----
  • 动态NAT
bash 复制代码
nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
  • NAPT
    NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

bash 复制代码
配置好ip地址

企业出口路由器需要配置默认路由

在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
  • Easy-IP
bash 复制代码
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000


display nat session all

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

相关推荐
EasyDSS1 小时前
视频监控从安装到优化的技术指南,视频汇聚系统EasyCVR智能安防系统构建之道
大数据·网络·网络协议·音视频
rufeike1 小时前
UDP协议理解
网络·网络协议·udp
江理不变情2 小时前
海思ISP调试记录
网络·接口隔离原则
世界尽头与你2 小时前
【安全扫描器原理】网络扫描算法
网络·安全
GKoSon3 小时前
加入RPC shell指令 温箱长时间监控
网络·网络协议·rpc
hgdlip4 小时前
关闭IP属地显示会影响账号的正常使用吗
网络·网络协议·tcp/ip·ip属地
Zz_waiting.4 小时前
网络原理 - 7(TCP - 4)
网络·网络协议·tcp/ip
RECRUITGUY4 小时前
用交换机连接两台电脑,电脑A读取/写电脑B的数据
服务器·网络·负载均衡
zheshiyangyang4 小时前
HTTP相关
网络·网络协议·http
@Aurora.6 小时前
【项目日记(三)】
linux·服务器·网络