一.访问控制列表(ACL)
访问控制列表(Access List)是应用在路由器接口上的指令列表,根据预先定义好的规则对数据包进行过滤,用来告诉路由器哪些数据可以接收,哪些数据需要被拒绝,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出。
作用:
1.用来对数据包做访问控制(丢弃或者放行)
2.结合其他协议,用来匹配范围
工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文精选检查,并做出相应处理。
种类:
基本ACL(2000-2999):只可以匹配源IP地址
高级ACL(3000-3999):可以匹配源IP,目标IP,源端口,目标端口等三层和四层字段
二层ACL(4000-4999):根据数据包的源MAC地址,目的MAC地址,802.1q优先级,二层协议类型等二层信息指定规则
ACL应用原则:
1.基本ACL尽量用在靠近目的点
2.高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL应用规则:
1.一个接口的同一个方向,只可以调用一个ACL
2.一个ACL里可以有多个rule规则,按照规则ID从大到小排序,从上往下依次执行
3.数据包一旦被某个rule匹配,将不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)
访问控制列表在接口应用的方向:
出口:已经过路由器的处理,正离开路由器接口的数据包
入口:已到达路由器接口的数据包,将被路由器处理
访问控制列表的处理过程
二.网络地址转换(NAT)
NAT(Network Address Translation)又称为网路地址转换,用于实现私有网络和公有网络之间的互相访问。
工作原理:
1.NAT用来将内部网络地址和端口号转换成合法的公有网络地址和端口号,建立一个会话,与公有网络主机进行通信
2.NAT外部的主机无法主动跟位于NAT内部的主机通信,必须主动和公有网络的一个IP地址通信,路由器负责建立一个映射关系,来实现数据转发
功能:
NAT不仅可以解决IP地址不足的问题,还可以有效的避免来自网络外部的入侵,隐藏并保护网络内部的主机。
1.宽带分享:NAT主机最大的功能
2.安全防护:NAT之内的主机联机到Internet上时,所显示的IP地址是NAT主机的公有网络IP,所以客户端的主机具有一定程度上的安全,外界在进行portscan(端口扫描)时,就侦测不到源客户端的主机。
优点:节省公有合法IP地址,处理地址重叠,增强灵活性和安全性
缺点:延迟增大,配置和维护复杂性,不支持某些应用(如VPN)
分类:
静态NAT:实现私有网络和公有网络的一对一转换,有多少个私有网络就要配置多少公有网络,静态NAT不可节约公有网络地址,但可以起到隐藏内部网络的作用。内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址,外部网络向内部网络发送响应报文时,静态NAT将报文目的地址替换为响应的私有网络地址。
动态NAT:多个私有网络IP地址对应多个公有网络IP地址,基于地址池一对一映射
PAT端口多路复用:PAT又称NAPT(Network Address Port Translation),它实现一个公有网络地址和多个私有网络地址之间的映射,因此可以节约公网地址。
PAT原理:将不同私有网络地址报文的源IP地址转换为同一公有网络地址,但他们被转换为该地址的不同端口号,因此仍然可以共享同一地址
PAT作用:
1.改变数据包IP地址和端口号
2.大量节约公有网络IP地址
PAT类型:
1.动态PAT(包括NAPT和East IP)duo
2.静态PAT(包括NAT Server)
NAPT:多个私有网络IP地址对应固定外部网络IP地址
Easy IP:多个私有网络IP地址对应外部网口公有网络IP地址
Nat Server:端口映射,将私有网络地址端口映射到公有网络地址端口,实现内部网络服务器供外部网络用户访问
三.实例
仅允许PC1访问192.168.2.0/24网络实例
R2:
PC1:
PC2:
禁止192.168.1.0/24网络pingWEB服务器实例
R2:
PC1:
PC2:
仅允许客户端访问WEB服务器WWW服务实例
R2:
Cilent1:
