ACL
基本原理
数据包经过接口时候查看报文ip地址,做出相应的处理
基本作用
放行permit
拒绝deny
种类
基本ACL:编号2000-2999
基本ACL尽量用在靠近目的地点
高级ACL:编号3000-3999;
高级ACL尽量放在离源地址近的地方,通过五元组来规定原则
二层ACL,MAC、VLAN-id、802.1q:编号4000-4999(一般用不上)
掩码
- 通配符掩码-----0和1可以不连续
- 掩码、反掩码---0和1必须连续
- 通配符掩码-----0和1可以不连续
- 子网掩码-------必须是连续的1
- 反掩码---------必须是连续的0
通配符:根据参考ip地址,通配符“1”对应为可变,“0”对应位不可变,0/1可以穿插
NAT
出去:将内网地址转化成外网地址
回来:将外网地址转成内网地址
匹配规则
自上而下(范围小的写上面) ,一旦匹配立即执行,不在匹配,一旦命中,即可停止
- 应用在接口的ACL:过滤数据包(五元组:源目ip地址,源目mac地址,端口)
- 应用在路由协议:匹配相应的路由条目
NAT四种类型
- 静态
- 动态
- Easy-IP
- NATPT
静态NAT
一个内网地址对应一个外网地址
动态NAT
建立一个外网地址池
NATPT
地址加端口号一起转换
Easy-IP
- 使用列表匹配私网的ip地址
- 将所有的私网地址映射成路由器当前接口的公网地址
基本原理
- 发出时候,修改原始报文,把源ip设置成弄好的公网ip,目标ip不变;
- 回包时候,NAT将变成公网的ip地址变成源ip地址
ACL实验
需要用到ENSP,拉取两个client,一台HUB,一台路由器,两台Server,按照实验框架连接起来
NAT静态实验
用到ENSP,拉取两台PC机,一台HUB,两台路由器,安装框架连接好
注意两台路由器都有g0/0/0接口,不要配置乱了
注意不能直接使用 接口地址200.1.1.1
在AR2右边就相当于外网,左边就相当于内网,如果想要联通外网,就需要用到NAT将内网在经过AR2的时候重新封装,把地址从192.168.1.端变成200.1.1段才可以访问外网
