前言
ACL意为访问控制,根据预先定义好的规则对包进行过滤
NET意为网络地址转换,用于实现私有网络与公网之间互访。
一、ACL
1.原理
当数据包从接口经过的时候时,由于接口启用了ACL,此时路由对报文检查,做出处理。
2.种类
基本:只能匹配源IP地址 范围为2000-2999 尽量用在靠近目的点
高级:可以匹配源IP 目的IP 源端口 目标端口 第三层第四层协议 范围为3000-3999 尽量用在源地点
二层:范围为4000-4999 应用比较少
3 作用
1对数据包做访问控制。
2 结合其它协议,用来匹配范围。
4 应用规则
1 一个接口的同一个方向,只能调用一个ACL
2 一个ACL里面可以有多个rule规则,按照规则ip地址从小到大,从上往下执行
3 数据包一旦被某rule匹配,就不能继续向下匹配
4 用来作数据包访问控制时,默认隐含放过所有(华为专属)
命令
分为基本和高级
例如 只允许pc1访问pc3 可以通过ACL基本实现 大体步骤为1 给路由器接口上配置地址
2定义ACL规则
3 在出接口和入接口上应用规则
acl 2000 创建acl2000
rule permit source 192.168.1.1 0 允许地址为192.168.1.1 的请求,0为反掩码,代表一台主机 source 为来源
rule deny source any 拒绝其他请求访问
int g0/0/1 此为出接口
traffic-filter outbound acl 2000 在接口上应用规则。
结果为
acl高级规则支持第三层第四层协议,例如禁止192.168.1.0/24 网段ping服务器
结果为
192.168.1.0/24的网段此时就ping不到了服务器了。
ACL也可以定义协议连接到端口来连接服务,例如连接服务器的wed服务和FTP服务
部分命令
rule permit/deny tcp source 192.168.1.3 0 destinaction 192.168.3.1 0 destination-port eq 80 允许/拒绝.3主机访问服务器wed端口 80可用www代替。
display this 查看
int 接口
ip address 192.168.2.254 24 配置IP地址
traffic-filter inbound/oubound 入接口/出接口方向应用。
undo traffic-filter inbound/outbound 入接口/出接口方向取消acl应用
NET
1## 原理
内网地址与端口号转换成合法的公网地址和端口号,建立一个会话,与主机进行通信。net外部的主机无法与跟位于net内部的主机通信,net内部主机想要通信,必须主动和公网的一个ip通信,路由器负责建立一个映射关系,从而实现数据的转发。
2 功能
解绝IP地址不足的问题,避免来自网络外部的入侵,隐藏并保护网络内部的计算机
1 宽带分享:为net主机的最大功能
2 安全防护
优点:节省公有ip地址,处理地址重叠,增强灵活性安全性
缺点:延迟增大,配置和维护的复杂性,不支持某些应用(vpn)
3分类
静态NET:实现内网与外网地址一对一转换,不可以节约公网ip,但可以隐藏内部网络的作用
动态NET:多个私网ip对应多个公网ip地址,基于地址池一对一映射
4配置
静态NET下分为2种 在全局上设置和在接口上直接声明
int g0/0/0 进入内网口
ip add 192.168.1.254 24 配置内网地址
int g0/0/1 进入外网口
ip add 12.0.0.1 24 配置外网IP地址
nat static global 8.8.8.8 inside 192.168.1.2 将内网地址转换为外网地址
nat static enable 在网口上启动nat static
接口上声明类似,直接进入接口 nat static global 8.8.8.8 inside 192.168.1.2即可
动态是基于地址池一对一映射
方法为
先在端口配置IP地址
nat address-group 1 200.0.0.100 200.0.0.200 定义一个IP地址池
acl 2000 创建acl规则
rule permit source 192.168.1.0 0.0.0.255
rule permit source 12.0.0.0 0.0.0.255 允许两个端口数据通过
int g0/0/1 外网口
no-pat 在网口上进行IP地址转换
no-pat不进行端口转换,只转换ip。默认为pat
dis this outbound 查看信息。
PAT
意为端口多路复用,又叫napt,实现一个公网地址和多个私网地址的映射,可以做到节约公网地址。
PAT两个作用
1 改变数据包的IP地址和端口号
2 能够大量节约公网ip地址。
种类
动态PAT:包括NAPT和easy ip
静态PAT 包括NAT server(端口映射)
NAPT:多个私网地址对应固定外网ip地址。
配置
nat address-group 2 100.0.0.1 100.0.0.100 定义为2的地址池
acl 2000 创建规则
rule permit source 192.168.1.0 0.0.0.255 允许源地址192.168.1.0 /24网段通过
nat outbound 2000 address-group 2 在外网口上进行ip地址转换
EASY IP:多个私网ip地址对应外网口IP地址 配置方法和上面类似
端口映射
将私网IP地址端口映射到公网地址实现内网服务器供外网用户访问
int g/0/0/1
nat server protocol tcp global 8.8.8.8 80 inside 192.168.1.100 80 将公网ip接口上将私网服务器地址和公网地址做一对nat映射绑定。
NET server protocol tcp global current-interface 8080 inside 12.0.0.1 www 在连接外网的端口上将私网ip和外网接口做一对NET映射绑定。
nat server protocol tcp global current-interface 2121 inside 10.0.0.2 ftp 端口为21可以直接使用 ftp代替