网络基础-ACL与NAT

166 阅读3分钟

ACL

1.什么是ACL

访问控制列表(ACL) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

2.ACL应用

ACL两种应用:

  1. 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
  2. 应用在路由协议-------匹配相应的路由条目
  3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流

3.ACL工作原理

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

ALC.png 入方向:流量将要进入本地路由器,将要被本地路由器处理

出方向:已经被本地路由器处理过,流量将离开本地路由器

4.匹配规则

  • 1、一个接口的同一个方向,只能调用一个acl
  • 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
  • 3、数据包一旦被某rule匹配,就不再继续向下匹配
  • 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

5.ACL 访问控制列表类型

1.标准访问控制列表

  • 只能基于源地址进行过滤
  • 标准访问控制列表号是2000-2999
  • 调用原则:靠近目标

2.扩展访问控制列表

  • 可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤
  • 相比较标准访问控制列表,流量控制的更精准
  • 调用原则:靠近源

NAT

1.NAT简介

网络地址转化(NAT) 当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。

NAT工作机制 一个数据包从私网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址。

2.NAT优点

    1. 节省了公网IP地址
    1. 能够处理编址方案重叠的情况
    1. 网络发生改变时不需要重新编址
    1. 隐藏了真正的IP地址

3.NAT的命令

静态NAT

int 接口  //进入接口
ip address *.*.*.* *         //网关 子网掩码
nat static enable          //开启静态路由功能
//创建静态NAT以及映射表,将私网地址与公网地址做映射
nat static global *.*.*.*(公网) inside *.*.*.*(私网) 

动态NAT

nat address-group 数字 ip地址  //建立地址池
acl number *
rule permit source 192.168.1.0 0.0.0.255 //给需要地址转换的 网段添加规则

NATPT(端口映射)

NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

    内网服务器的相应端口映射成路由器公网ip地址的相应端口

int 接口
ip address *.*.*.* * 
//将私网地址映射到www(80)端口上
nat server protocol tcp global current-interface www inside (私网地址) www

Easy-IP

  • 1.使用列表匹配私网的ip地址

  • 2.将所有的私网地址映射成路由器当前接口的公网地址

      acl 2000
      rule permit source 192.168.1.0 0.0.0.255
      int g0/0/1
      nat outbound 2000