1.ACL的工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
2.ACL是做什么的
ACL是个匹配工具能够对报文
3.ACL的应用
- 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
- 应用在路由协议-------匹配相应的路由条目( )
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
4. ACL的种类
- 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
5.ACL(访问控制列表)的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
6.ACL的匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
7.ACL的配置
7.1.实验内容
192.168.1.1不能访问192.168.2.1 可以访问192.168.3.1、192.168.1.2 都可以访问
7.2具体操作
1.先把服务器的ip地址和网关配置好
2.配置client1、2里的ip地址需要在同一网段
3.设置R1路由器每个端口配置网关
4.配置acl2000(基本acl)
5.出口配置acl2000
8.NAT是什么
NAT是将网络地址翻译,让内网可以上私网
数据出去的时候将源ip地址由私网地址转换成公网地址
数据回来的时候将目的地址由公网地址转换为私网地址
9.静态NAT的操作实验
9.1实验内容
在企业路由器上配置NAT使用不同的ip地址与公网建立连接
9.2具体操作
1.配置好企业路由器,的端口信息
2.在g0/0/1端口下开启NAT,并且为pc1和pc2配置公网ip地址
注意这边的公网ip不能和网关地址一样
3.去到pc1和pc2内测试是否能跟运营商200.1.1.1/24进行通信
10.动态NAT
动态NAT就是建立一个NAT池,给需要转换的私网ip在NAT池中配置NAT
11.动态NAT的配置
11.1实验内容
配置一个NAT的地址池,使pc1与pc2和运营商通信
11.2操作步骤
1.配置好企业路由器的端口ip
2.配置企业路由的地址池
3.创建基本acl 2000,并给需要地址转换的网段添加规则
4.进入g0/0/1配置添加acl2000
12.NATPT(端口映射)
12.1NATPT是什么
内网服务器对外提供服务,针对目的ip和目的端口映射 内网服务器的相应端口映射成路由器公网ip地址的相应端口
12.2NATPT的配置
1.企业路由器中需要配置默认路由
2.进入企业路由的g0/0/1中进行配置
3.打开服务器2里的端口80
4.进到Client2中进行测试,是否关联好
有数据表示通过
13.Easy-ip
将ip地址和端口号一起转发成公网地址
13.1实验操作
1.在企业路由器中创建acl 2000,并且规定范围
2.设置acl的规则
3.进入g0/0/1,配置acl 2000
4.到主机pc1和pc2中测试是否可以ping通200.1.1.1
这个跟动态NAT相比把端口号也加入一起转化了
