ACL和NAT
目录
ACL
一.ACL的介绍
二.ACL的类型
三.ACL的工作原理
四.ACL的应用原则
五.ACL的匹配规则
六.ACL的实验
NAT(网络地址翻译)
一.NAT的概念
二.NAT的作用
三.NAT的种类
四.测试
ACL
一.ACL的介绍
ACL,中文名称是“访问控制列表”,它由一系列规则组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。是控制网络流量,控制访问的网络技术手段。
二.ACL的类型
基本ACL:2000 - 2999 只能控制源IP,尽量应用在离目的地址近的出口
高级ACL:3000 - 3999 可以控制源目地IP 协议 端口 尽量应用在离源地址近的接口
三.ACL的工作原理
当前数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理(拒绝,接收)
四.ACL的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护宽带和其他资源)
五.ACL的匹配规则
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放所有设备(华为设备)
六.ACL的实验
使得Client1不能访问Server1
1.画出拓扑图
2.配置Client,Server和路由器
AR1
3.1建立acl 2000
3.2测试
Client1 不能访问server1
且不能ping通
4.1建立acl 3000
4.2测试
client1不能访问server1,但是能够ping通
NAT(网络地址翻译)
一.NAT的概念
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或在防火墙上。
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。
二.NAT的作用
1.让内网用户可以直接使用内网地址去访问外网
数据包在出路由器的时候,将源ip内网地址改为公网地址
数据包在回来的时候,将目的地址改回私网地址
2.提供了一定的安全保证
三.NAT的种类
1.静态NAT
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射
支持双向互访:私有地址访问Internet经过出口设备NAT转换时会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
配置好公网地址后在路由器出口配置的命令:
nat static enable
nat static global 公网地址 inside 私网地址
2.动态NAT
动态NAT:建立公网地址池,用acl设置可以通过的私网地址,此时私网地址可以随机匹配公网地址池中的公网地址。
四.测试
1.静态NAT
使得PC1能ping通运营商路由
1.1画出拓扑图
1.2配置IP地址
1.3配置路由器
1.4测试结果
2.动态NAT
拓扑图
输入命令
测试结果
3.Easy-IP
在建立acl 2000 的基础下输入命令
测试结果
4.映射
拓扑图
输入命令
测试结果
