ACL 和 NAT

大白鲨555
68 阅读2分钟

ACL

ACL: access list 访问控制列表

技术背景:需要一个工具,实现流量过滤。

vlan 隔开广播风暴

三层交换是不同vlan间通讯

白名单:默认拒绝所有,放一个 可以通信一个 自己内 部的业务

黑名单:默认开放所有,加入一个,不能通信一个 京东 淘宝

ACL工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由 器会对报文进行检查,然后做出相应的处理。

ACL种类:

编号2000-2999---基本ACL----依据依据数据包当中的 源IP地址匹配数据(数据时从 哪个IP地址 过来的)

编号3000-3999---高级ACL----依据数据包当中源、目 的IP,源、目的端口、协议号匹配数据

编号4000-4999---二层ACL,MAC、VLAN-id、 802.1q

ACL 实验

1.png

建立调用.png

步骤

配置地址

int g0/0/0 ip address 192.168.1.254 255.255.255.0

int g0/0/1 ip address 192.168.2.254 255.255.255.0

int g0/0/2 ip address 192.168.3.254 255.255.255.0

建立acl 2调用acl

acl 2000###建立cal2000

rule 5 deny source 192.168.1.1 0####默认编号5 拒绝 来自192.168.1.1 的流量

int g0/0/1###进入g0/0/1端口

traffic-filter outbound acl 2000####接口下调用acl2000

在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL

outbound方向-------当设备从特定接口向外发送数 据时执行ACL

没有被acl匹配数据默认采用permit动作

基本acl需要调用在离目的设备最近的接口上

ACL 的应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资 源)

NAT

2.png

步骤

配置好地址

在企业出口路由器上的 g0/0/1 口配置

int g0/0/1

ip address 200.1.1.1 255.255.255.0

nat static enable

nat static global 200.1.1.100 inside 192.168.1.1

4.png

5.png

总结:主要介绍了ACL和NAT的工作原理分类以及实验。

avatar
文章
阅读
粉丝