3.25 ACL和NAT

mocuq
182 阅读3分钟

ACL、NAT

1.ACL (access list )访问控制列表

  • ACL是由一系列Permit(允许/放行)或deny(拒绝)语句组成的、有序规则的列表
  • ACL是一个匹配工具,能够对报文进行匹配和区分

工作原理:当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理

1.1.ACL种类

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

1.2.基本ACL格式

acl 2000
#新建表格,  将你设置的 过滤条件放入 这个表格

rule permit | deny source 匹配的条件(ip地址) 通配符掩码
#添加限制条件   permit:通过  deny:拒绝
traffic-filter outbound或inbound acl 2000  
#数据流向,或者说数据过滤,outbound是表示过滤出口的数据。

1.4.高级ACL格式

acl number 3000  // number可省略 
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)   
# www=80端口=http 
# 拒绝来自于192.168.1.1 的流量,不让他访问目的地址为192.168.2.1  tcp的80端口。

1.3.通配符掩码

匹配acl的控制范围,0代表此位置不可以变化,1代表此位置可以变化。

可以0 1穿插

1.4.ACL(访问控制列表)的应用原则

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

1.5.ACL匹配规则

1、一个接口的同一个方向,只能调用一个acl 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行 3、数据包一旦被某rule匹配,就不再继续向下匹配 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

2.NAT(Network Address Translation)网络地址翻译

2.1.NAT原理

出去的时候 将源ip 由私网地址改成公网地址,回来的时候 将目的ip由公网改成私网。

2.2.NAT的分类

1.静态NAT

私网公网一一对应,一个私网地址对应一个公网地址。

nat static enable 
nat static global 200.1.1.100 inside 192.168.1.1 # 将公网200.1.1.100与私网192.168.1.1相关联
dis nat static#查看静态nat信息

2.动态NAT

动态NAT,就是从地址池里面挑选。

nat address-group 1 200.1.1.10 200.1.1.15#建立地址池,取名为1,取值范围为0-7
acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255#基本acl 编号5 允许192.168.1.0网段下的数据包通过
nat outbound 2000 address-group 1 no-pat#不转换端口
dis nat session all  #查看配置结果

3.easy-IP

easy-IP技术为现实环境中用的最多的nat技术,所有的内网机器都使用 当前接口的公网地址上网,只需要一个公网地址。

3.NATPT (Network Address Translator - Protocol Translator)端口映射

功能:可以让外网访问内网

nat server protocol tcp global current-interface www(80) inside 192.168.1.100 www(80)
avatar
文章
阅读
粉丝