ACL网络访问控制列表(Access Control List);NAT网络地址转换(Network Address Translator)

开心最大
185 阅读4分钟

ACL网络访问控制列表

1.1 什么是ACL

ACL网络访问控制列表(Access Control List)是计算机网络中重要的安全机制之一,是由一系列permit或deny语句组成的、有序规则的列表,是一个匹配工具,能够对报文进行匹配和区分用于限制网络中用户、进程或设备的访问权限。ACL可以在路由器、交换机和防火墙等网络设备上实现,通过配置不同的访问规则,实现对网络资源的控制和保护。

1.2 ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。 image.png

  • 规则编号(Rule ID):一个ACL中的每一条规则都有一个相应的编号。系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。
  • 步长(Step):步长是系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值,缺省值为5。步长的作用是为了方便后续在旧规则之间,插入新的规则。
  • 通配符:是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。0表示对应位不可变,1表示对应位可变,0和1可以不连续。通配符掩码为0表示单个地址,0.0.0.255表示IP范围。
  • 匹配项:ACL定义了极其丰富的匹配项。包括生效时间段、IP协议(ICMP、TCP、UDP等)、源/目的地址以及相应的端口号(21、23、80等)。

1.3 ACL的分类

1.基本ACL----编号2000-2999---依据依据数据包当中的源IP地址匹配数据(尽量用在靠近目的点)

acl 2000 rule 5 premit source 192.168.1.0 0.0.0.255
traffic-filter outbound/inbound acl2000

建立ACL2000,规则5允许源IP地址为192.168.1.0网段通过,在出口或入口使用acl2000

2.高级ACL----编号3000-3999---依据数据包当中源、目的IP,源、目的端口、协议号匹配数据(尽量用在靠近源的地方,可以保护带宽和其他资源)

acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)

建立ACL3000,规则5拒绝TCP中源192.168.1.1 0目的192.168.2.1 0目的端口等于80

(eq 等于,gt 大于,lt 小于,range 之间,source-port 源端口)

3.二层ACL---编号4000-4999---依据MAC、VLAN-id、802.1q

1.4 ACL的匹配规则

  1. 一个接口的同一个方向,只能调用一个acl
  2. 一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
  3. 数据包一旦被某rule匹配,就不再继续向下匹配
  4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)

1.5 ACL实验操作

image.png ACL 2000设置 image.png ACL 3000设置 image.png

NAT网络地址转换

2.1 什么是NAT

NAT网络地址转换:用于实现私有网络和公有网络的互访。

从内网到外网:源IP地址从私网地址转换为公网地址。

从外网到内网:目的IP地址从公网地址转换为私网地址。

2.2 NAT的分类

静态NAT:在连接私网和公网的路由器上配置静态NAT,每一个私网地址都对应一个固定的公网地址,需手动配置。

动态NAT:为了避免浪费,动态NAT设置了可用公网地址池,每一个私网地址需要上公网时随机匹配地址池中公网地址。

NATPT(端口映射):NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射,内网服务器的相应端口映射成路由器公网ip地址的相应端口。

Easy-IP:使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。

2.3 NAT的配置操作

image.png 静态NAT设置 image.png 地址转换 image.png image.png 动态NAT设置 image.png NATPT 配置 image.png Easy-IP 配置

  • acl 2000 (创建基本ACL200)
  • rule permit source 192.168.1.0 0.0.0.255 (允许源IP192.168.1.0网段)
  • int g0/0/1 (进入g0/0/1接口)
  • undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
  • nat outbound 2000 (出口NAT使用规则2000)
  • display nat session all
avatar
文章
阅读
粉丝