一、ACL
1.ACL概述
acl是由一系列permit或deny语句组成的、有序规则的列表。而且它是一个分配工具,能够对报文进行分配。
acl原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ALC(访问控制列表)的应用原则:基本ACL,尽量用在靠近目的点。高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)。
匹配原则:
- 一个接口的同一个方向,只能调用一个acl,
- 一个acl里面可以有多个rule规则,按照规则 id从小到大排序,从上到下依次执行,
- 数据包一旦被某rule匹配,就不在向下匹配, 尽量将范围小的写在前面
- 用来做数据包访问控制时,默认隐含放过所以设备(华为设备)
2.实际操作
ip地址如下图配置
配置地址
连接了PI端口,所以通过ping测试可以ping通
我们让Client1 ping不通Server1
通过一下操作
Client1就会 ping不通Server1
二、NAT
1.NAT概念
NAT(Network Address Transaction)指网络地址转换,也可以叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。
功能:NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT实现方式:静态转换(Static Transaction)、动态转换(Dynamic Transaction)、端口地址转换(Port Address Transaction)
2.NAT作用过程
编辑
NAT:
pc1 是某公司内网电脑地址 192.168.1.1私网地址无法访问百度的,需要借助NAT地址翻译技术,PC1发送数据包,源IP地址:192.168.1.1 目的IP地址:200.1.1.1 ,数据经过路由器,路由器使用NAT机器重新封装PC1的数据包,源地址不变,目的改成公网地址,源IP地址200.1.1.02,目的IP地址:200.1.1.1,由于都是公网地址就可以访问百度了,百度服务器收到包后回复一个数据包,源IP地址:200.1.1.1,目的ip地址:200.1.1.2,百度的包回,经过路由器,重新打包,源地址不变,目的地址变成私网地址,源IP地址:200.1.1.1,目的IP地址:192.168.1.1。
3.实际操作
企业出口路由器配置ip端口
运营商路由配置ip端口
NAT地址翻译
再ping一下
