ACL和NAT

墨语清言
296 阅读4分钟

ACL原理概述及配置

1. ACL概述

  • 是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
  • ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;
  • ACL除了能够对报文进行匹配,还能够用于匹配路由;
  • 主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合

2. ACL应用

  1. 应用在接口的ACL-----过滤数据包
  2. 应用在路由协议-------匹配相应的路由条目

3. ACL 工作原理

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

4. ACL种类

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

5. 通配符掩码

  • 子网掩码:必须是连续的1
  • 反掩码:必须是连续的0
  • 通配符掩码:0和1可以不连续

6.实验拓扑

image.png

R1配置

int g0/0/0
ip address 192.168.1.254 255.255.255.0 

int  g0/0/1
ip address 192.168.2.254 255.255.255.0 

int   g0/0/2
ip address 192.168.3.254 255.255.255.0

Client1 ping服务器1成功

image.png

配置ALC

acl  2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0 
#默认编号5  拒绝  来自192.168.1.1 的流量


int  g0/0/1
traffic-filter outbound acl 2000

image.png

Client1 ping服务器1失败

7.ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

8.匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

4、用来做数据包访问控制时,默认隐含放过所有

NAT

NAT(网络地址翻译)

一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。

192.168.1.1    (公司的内网地址)
去访问外网服务器  200.0.0.1
源地址192.168.1.1    目的地址200.0.0.1

经过 路由器NAT技术处理     静态模式

源地址:201.0.0.1    目的地址:200.0.0.1


回包的时候
源地址 200.0.0.1    目的地址:201.0.0.1  

经过 路由器NAT技术处理

源地址 200.0.0.1    目的地址:192.168.1.1

NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址

1.静态NAT

image.png

在R1上配置地址

int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1

image.png

内网中的PC1可以ping到运营商服务器中

2.NATPT(端口映射)

NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

image.png

在企业出口路由配置

int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable

image.png

外网也可访问内网服务器

3.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

image.png

acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000
display nat session all

image.png

image.png

pc1和pc2都可ping通

总结:

ACL用来对数据包做访问控制(丢弃或者放行);结合其他协议,用来匹配范围

ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。

avatar
文章
阅读
粉丝