目錄
ACL作用
ACL原理
ACL應用原則
NAT的工作原理
靜態、動態NAT
NAT server
總結
ACL:access list 訪問控制列表
訪問控制列表利用這4個元素:源地址 目的地址 源端口 目的端口
ACL兩種作用:
1.用來對數據包做訪問控制(丟棄或者放棄)
2.結合其他協議,用來匹配范圍
acl 工作原理:當數據包從接口經過時,由於接口啟用了acl,此時路由器會對報文進行檢查,然后做出相應處理。
從上而下
acl種類:
基本acl (2000-2999) : 只能匹配源ip地址。
高級acl (3000-3999) : 可以匹配源ip、目標ip、源端口、目標端口等三層和四層的字段和協議。
二層ACL(4000-4999):根據數據包的源MAC地址、目的MAc地址、802.1q優先級、二層協議類型等二層信息制定規則。
ACL(訪問控制列表)的應用原則:
基本ACL,盡量用在靠近目的點
高級ACL,盡量用在靠近源的地方(可以保護帶寬和其他資源)
########應用規則
1、一個接口的同一個方向,只能調用一個acl
2、一個acl里面可以有多個rule規則,按照規則ID從小到大排序,從上往下依次執行
3、數據包一旦被某rule匹配,就不再繼續向下匹配
4、用來做數據包訪問控制時,默認隱含放過所有(華為設備)
255.255.255.240
255-(減)每個字段的值就是反掩碼的值
0.0.0.15
NAT(又稱為網絡地址轉換,用於實現私有網絡和公有網絡之間的互訪)
實驗:
[Huawei]acl number 2000 ####創建acl 2000
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ####拒絕源地址192.168.1.1的流量,0代表僅此一台,5是這條規則的序號(可不加)
[Huawei]interface GigabiEthernet0/0/1
###進入G0/0/1端口
[Huawei-GigabiEthernet0/0/1]ip address 192.168.2.254 24
####IP地址
[Huawei-GigabiEthernet0/0/1]traffic-filter outbound acl 2000 ###接口出方向調用acl 2000,outbound代表出方向,inbound代表進入方向
[Huawei-GigabiEthernet0/0/1] undo sh
[Huawei]acl number 2001 ##進入acl 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 ###permit代表允許,source代表來源,掩碼部分為反掩碼
[Huawei-acl-basic-2001]rule deny source any ###拒絕所有訪問,any代表所有0.0.0.0 255.255.255.255或者rule deny
[Huawei]interface GigabiEthernet 0/0/1 ###進入出口接口
[Huawei-GigabiEthernet0/0/1]ip address 192.168.2.254 24
###IP地址
[Huawei-GigabiEthernet0/0/1]traffic-filter outbound acl 2001
[Huawei]acl number 3000 ### 拒絕tcp為高級控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 detination 192.168.3.1 0 ###拒絕ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
NAT的術語與轉換表
NAT的工作原理:
NAT用來將內網地址和端口號轉換成合法的公網地址和端口號,建立一個會話,與公網主機進行通信
NAT外部的主機無法主動跟位於NAT內部的主機通信,NAT內部主機想要通信,必須主動和公網的一個IP通信,路由器負貴建立一個映射關系,從而實現數據的轉發
總結:nat 數據包從內網到外網時,會轉換源IP地址,由私網地址轉換成公網地址,數據包從外網到內網時,會轉換目的IP地址,由公網地址轉換成私網地址
實驗:
有2種配置方法:
第一種:
全局模式下設置靜態NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1]nat static enable ###在網口.上啟動nat static enable功 能
第二種:直接在接口.上聲明nat static
[R1]int g0/0/1 ###外網口
[R1 -GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT靜態配置信息
NAT (Network Address Translation) 又稱為網絡地址轉換,用於實現私有網絡和公有網絡之間的互訪。
私有網絡地址和公有網絡地址
公有網絡地址(以下簡稱公網地址)是指在互聯網上全球唯一的IP地址。2019年11月26日,是人類互聯網時代值得紀念的一天,全球近43億個IPv4地址已正式耗盡。
私有網絡地址(以下簡稱私網地址)是指內部網絡或主機的IP地址,IANA(互聯網數字分配機構)規定將下列的IP地址保留用作私網地址,不在Internet.上被分配,可在一-個單位或公司內部使用。RFC1918中規定私有地址如下:
A類私有地址: 10.0.0.0~10.255.255.255
B類私有地址: 172.16.0.0~172.31.255.255
c類私有地址: 192.168.0.0~192.168.255.255
NAT的工作原理:
NAT用來將內網地址和端口號轉換成合法的公網地址和端口號,建立一個會話,與公網主機進行通信
NAT外部的主機無法主動跟位於NAT內部的主機通信,NAT內部主機想要通信,必須主動和公網的一個IP通信,路由器負責建立一個映射關系,從而實現數據的轉發
NAT功能:
NAT不僅能解決了IP地址不足的問題,而且還能夠有效地避免來自網絡外部的入侵,隱藏並保護網絡內部的計算機。
1.寬帶分享:這是NAT主機的最大功能。
2.安全防護:NAT之內的Pc聯機到Internet..上面時,他所顯示的IP是NAT主機的公網IP,所以cl ient端的PC就具有一定程度的安全了,外界在進行portscan (端口掃描)的時候,就偵測不到源client端的PC。
優點:節省公有合法IP地址、處理地址重疊、增強靈活性、安全性
缺點:延遲增大、配置和維護的復雜性、不支持某些應用(比如VPN)
#######靜態NAT
靜態NAT實現私網地址和公網地址的一對一轉換。有多少個私網地址就需要配置多少個公網地址。靜態NAT不能節葯公網地址,但可以起到隱藏內部網絡的作用。
內部網絡向外部網絡發送報文時,靜態NAT將報文的源IP地址替換為對應的公網地址:外部網絡向內部網絡發送響應報文時靜態NAT將報文的H的地址替換為相應的私網地址。
#####動態NAT:多個私網IP地址對應多個公網ip地址,基於地址池一對一映射
1.配置外部網口和內部網口的IP地址
2.定義合法IP地址池
nat adress-group 1 212.0.0.100 212.0.0.200##新建一個名為1的nat地址池
3、定義訪問控制列表
[R1]acl 2000 ###創建ACL,允許源地址為192.168.20.0/24網段和11.0.0.0/24的數據通過[R1-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255
[R1-acl -basic-2000] rule permit source 11.0.0.0 0.0.0.255
4、在外網口,上設置動態IP地址轉換
[R1-acl-basic-2000] int g0/0/1###外網口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat #將ACL2000匹配的數據轉換為改接口的IP地址作為源地址(no pat 不做端口轉換,只做iP地址轉換,默認為pat)
[R1]dis nat outbound ###查看NAT outbound的信息
PAT端口多路復用
PAT又稱為NAPT (Network Address Port Translation) ,它實現一個公網地址和多個私網地址之間的映射,因此可以節約公網地址。PAT的基本原理是將不同私地址的報文的源IP地址轉換為同一公網地址,但他們被轉換為該地址的不同端口號,因而仍然能夠共享同一地址。
PAT有以下作用:
1.改變數據包的ip地址和端口號
2.能夠大量節約公網IP地址
PAT的類型有以下:
1.動態PAT,包括NAPT和Easy IP
2.靜態PAT,包括NAT Server
######NAPT:多個私網Ip地址:對應固定外網IP地址(比如200.1.1.10),配置方法與動態NAT類似
1、配置外部網口和內部網口的IP地址
2、定義合法IP地址池
[R1]nat address-group 1 200.1.1.10 200.1.1.10
###使用一個固定IP
3、定義訪問控制列表
[R1]acl 2000 ###允許源地址為192.168.30.0/24網段的數據通過
[R1-acl-adv-2000] rule permit source192.168.30.0 0.0.0.255
4、在外網口上設置IP地址轉換
[R1-acl-basic-2000]int g0/0/1 ###外網口
[R1-Gigabi tEthernet0/0/1]nat outbound 2000 address-group 1
######EasyIp:多個私網IP地址對應外網口公網IP地址(比如12.0.0.1)
1.配置外部網口和內部網口的IP地址
2.定義合法IP地址池
由於直接實驗外網口IP地址所以不用再定義IP地址池
3.定義訪問控制列表
[R1]acl 3000 ##允許源地址為192.168.30.0/24網段的數據通過
[R1-acl-adv-3000] rule permit ip source 192.168.30.0 0.0.0.255
小實驗:
(重點)
####NAT sever :端口映射,將私網地址端口映射到公網地址,實現內網服務器供外網用戶訪問
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1] nat server protocol tcp global 9.9.9. www inside*****************ww
###在連接公網的接口上將私網服務器地址和公網地址做一對NAT映射綁定
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 10.0.0.1www
###在連接公網的接口,上將私網服務器地址和外網接口做一對NAT映射綁定
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###端口為21可以直接使用關鍵字“ftp”代替
實驗:
總結:
1.acl工作原理:當數據包從接口經過時,由於接口啟用了acl,此時路由器會對報文進行檢查,然后做出相應處理。
2.acl應用規則
一個接口的同一個方向,只能調用一個acl
一個acl里面可以有多個rule規則,按照規則ID從小到大排序,從上往下依次執行
數據包一旦被某rule匹配,就不再繼續向下匹配
用來做數據包訪問控制時,默認隱含放過所有(華為設備)
- NAT的工作原理
- 靜態NAT、動態NAT
NAT server:端口映射,將私網地址端口映射到公網地址,實現內網服務器供外網用戶訪問