ACL、NAT
ACL
NAT(网络层)
PAT端口多路复用
配置
ACL
ACL(访问控制列表)
访问控制列表读取第三层、第四层包头信息,根据预先定义好的规则对包进行过滤
源地址、目的地址、源端口、目的端口,ACL利用这4个元素定义规则
ACL工作原理:
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理
ACL在接口应用的方向
出:已经经过路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理
ACL处理过程
ACL两种作用
1.用来对数据包做访问控制(丢弃或者放行)
2.结合其他协议,用来匹配范围
ACL种类
基本ACL (2000-2999) :只能匹配源ip地址。
高级ACL (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
二层ACL (4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1g优先级、二层协议类型等二层信息制定规则
ACL应用原则
基本ACL尽量用在靠近目的点
高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL应用规则
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule,按照规则ID从小到大排序,从上往下依次执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT(网络层)
NAT又称为网络地址转换,用于实现私网和公网之间的互访
NAT工作原理
1.NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
2.NAT外部的主机无法主动跟位于NAP内部的主机通信,NAP内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而现数据的转发
私有网络地址和公有网络地址
公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一天,全球近43亿个IP地址己正式耗尽。
私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet上被分配,可在一个单位或公司内部使用。RFC1918中规定私有地址如下:
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
NAT功能
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带共享:这是NAT主机的最大功能。
2.安全防护: NAT之内的PC联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以Client端的PC就具有一定程度的安全,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC 。
NAT优缺点
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址
外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址
静态NAT有2种配置方法
1.全局模式下设置静态NAT
2.直接在接口上生命nat static
动态NAP
动态NAP:多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
PAT端口多路复用
PAT又称为NAPT实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址
PAT基本原理
将不同私网地址报文的源IP地址转换为同一个公网地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址
PAT作用
1.改变数据包的IP地址和端口号
2.能够大量节约公网IP地址
PAT类型
1.动态PAT,包括NAPT和Easy IP
2.静态PAT,包括NAT Server
配置
AR1 AR3
配置各端口IP地址并开启 配置各端口IP地址并开启
nat address-group 1 18.18.18.18 18.18.18.18 (定义地址池1的IP)
acl 2000(创建acl 2000) acl 2000
rule permit source 192.168.1.1 0(允许源地址的流量,0代表仅此一台,规则的序号可不加) rule permit source 192.168.1.0 0.0.0.255
traffic-filter outbound acl 2000 (接口出方向调用acl2000,outbound代表出方向,inbound代表进入方向) rule permit source 192.155.1.0 0.0.0.255
nat outbound 2000 address-group 1(新建一个名为1的nat地址池)
acl 3000(拒绝icmp为高级控制,所以3000起 ) int g0/0/1
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0(拒绝ping) nat outbound 2000 address-group 1(将ACL2000匹配的数据转换为改接口的IP地址作为源地址(no pat 不做端口转换,只做IP地址转换,默认为pat))
int g0/0/02 int g0/0/2
traffic-filter inbound acl 3000 nat server protocol tcp global 11.11.11.11 8080 inside 192.168.3.1 80(在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定)
192.168.3.1 80 display nat session all(查看NAT的流表信息)
acl 3000
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0
destination-port eq 80 (destination代表目的地地址,destination-port代表目的端口号,80可用www代替)
rule deny tcp source any (禁止其他访问)
int g0/0/0
traffic-filter inbound acl 3000
display acl 3000(显示acl配置)
undo rule 5 (删除一条acl语句)
undo acl number 3000(删除整个ACL)
TaKe___Easy
关注