ACL与NAT协议

ACL 访问控制列表

  • ACL是由一系列permit或deny语句组成的、有序规则的列表
  • ACL是一个匹配工具,能够对报文进行匹配和区分

1.匹配ip流量

2.在Traffic-filter中备调用

3.在NAT中被调用

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作

ACL 工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理

ACL种类:

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

acl 2000 建立acl表格2000

书写规则

rule 编号 处理动作 source 通配符

编号:规则的序号

处理动作:permit允许或者deny拒绝

source ip:源ip地址

通配符: 表示了地址的范围

示例:

rule 5 permit source 192.168.1.0 0.0.0.255

应用规则:

进入端口应用规则

基本ACL可以基于哪些条件来定义规程:

1.源IP地址:允许或拒绝特定来源的流量。

2。分片标记:用于识别分片的数据包。

3.时间段信息:定义规则生效的时间段。

高级ACL可以基于哪些条件来定义规程:

1.源IP地址和目的IP地址:允许或拒绝特定来源或目的地的流量。

2.IP协议类型:如TCP、UDP等,用于区分不同类型的流量。

3.端口号:如TCP或UDP的源端口和目的端口,用于识别特定的应用程序流量。

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址

NAT协议

网络地址转换技术

  • 私网ip地址

  • NAT技术原理


1.出去的时候:★★★★★

将源ip地址 由私网改成了公网

2.回来的时候:★★★★★

将目的ip地址 由公网改回私网


  • 子网掩码的作用: 连续的1 代表网络位

  • 通配符掩码:

    可以0 1穿插

  • 静态NAT

    工程师手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样

bash 复制代码
配置好地址:

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 
#注意不能直接使用 接口地址200.1.1.1

dis nat static
<Huawei>dis nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.1.1.100/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----
  • 动态NAT
bash 复制代码
nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
  • NAPT
    NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

bash 复制代码
配置好ip地址

企业出口路由器需要配置默认路由

在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
  • Easy-IP
bash 复制代码
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000


display nat session all

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

相关推荐
小蜗牛慢慢爬行26 分钟前
有关异步场景的 10 大 Spring Boot 面试问题
java·开发语言·网络·spring boot·后端·spring·面试
MARIN_shen32 分钟前
Marin说PCB之POC电路layout设计仿真案例---06
网络·单片机·嵌入式硬件·硬件工程·pcb工艺
m0_748240021 小时前
Chromium 中chrome.webRequest扩展接口定义c++
网络·c++·chrome
終不似少年遊*1 小时前
华为云计算HCIE笔记05
网络·华为云·云计算·学习笔记·hcie·认证·hcs
蜜獾云2 小时前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
小林熬夜学编程3 小时前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen3 小时前
天融信网络架构安全实践
网络·安全·架构
上海运维Q先生3 小时前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes
ProtonBase3 小时前
如何从 0 到 1 ,打造全新一代分布式数据架构
java·网络·数据库·数据仓库·分布式·云原生·架构
fantasy_arch13 小时前
CPU性能优化-磁盘空间和解析时间
网络·性能优化