ACL与NAT协议

ACL 访问控制列表

  • ACL是由一系列permit或deny语句组成的、有序规则的列表
  • ACL是一个匹配工具,能够对报文进行匹配和区分

1.匹配ip流量

2.在Traffic-filter中备调用

3.在NAT中被调用

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作

ACL 工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理

ACL种类:

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

acl 2000 建立acl表格2000

书写规则

rule 编号 处理动作 source 通配符

编号:规则的序号

处理动作:permit允许或者deny拒绝

source ip:源ip地址

通配符: 表示了地址的范围

示例:

rule 5 permit source 192.168.1.0 0.0.0.255

应用规则:

进入端口应用规则

基本ACL可以基于哪些条件来定义规程:

1.源IP地址:允许或拒绝特定来源的流量。

2。分片标记:用于识别分片的数据包。

3.时间段信息:定义规则生效的时间段。

高级ACL可以基于哪些条件来定义规程:

1.源IP地址和目的IP地址:允许或拒绝特定来源或目的地的流量。

2.IP协议类型:如TCP、UDP等,用于区分不同类型的流量。

3.端口号:如TCP或UDP的源端口和目的端口,用于识别特定的应用程序流量。

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址

NAT协议

网络地址转换技术

  • 私网ip地址

  • NAT技术原理


1.出去的时候:★★★★★

将源ip地址 由私网改成了公网

2.回来的时候:★★★★★

将目的ip地址 由公网改回私网


  • 子网掩码的作用: 连续的1 代表网络位

  • 通配符掩码:

    可以0 1穿插

  • 静态NAT

    工程师手动将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样

bash 复制代码
配置好地址:

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 
#注意不能直接使用 接口地址200.1.1.1

dis nat static
<Huawei>dis nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.1.1.100/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----
  • 动态NAT
bash 复制代码
nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则
  • NAPT
    NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

bash 复制代码
配置好ip地址

企业出口路由器需要配置默认路由

在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
  • Easy-IP
bash 复制代码
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000


display nat session all

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

相关推荐
速盾cdn2 小时前
速盾:什么是高防CDN?高防CDN的用处有哪些?
运维·服务器·网络·web安全
黑龙江亿林等级保护测评2 小时前
做等保二级备案需要准备哪些材料
网络·安全·金融·智能路由器·ddos
星海幻影3 小时前
网络安全知识见闻终章 ?
网络·安全·web安全
kinlon.liu3 小时前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节
许野平3 小时前
OpenSSL:生成 DER 格式的 RSA 密钥对
服务器·网络·openssl·rsa·pem·der
cuisidong19974 小时前
5G网络中RLC层及其切割简介
网络·5g
致奋斗的我们4 小时前
RHCE的学习(7)
linux·服务器·网络·学习·redhat·rhce·rhcsa
Chris-zz5 小时前
Linux:磁盘深潜:探索文件系统、连接之道与库的奥秘
linux·网络·c++·1024程序员节