ACL和NAT

一、ACL

1.概述

  • 访问控制列表Access Control List
  • 是由一系列permit或deny语句组成的、有序规则的列表
  • 是一个匹配工具,对报文进行匹配和区分

2.ACL应用

  • 匹配流量
  • 在traffic-filter中被调用
  • 在NAT(Natwork Address Translation)中被调用
  • 在路由策略中被调用
  • 在防火墙的策略部署中被调用
  • 其他

3.ACL的种类

  • 编号2000-2999---基本ACL----依据数据包当中的源IP地址匹配数据

  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据

  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

4.ACL配置

4.1步骤

建立acl表格

acl ?2000? ? ? ? //建立acl表格

书写规则

rule 编号 处理动作 source ip地址 通配符

编号:规则的序号(不写默认从5开始, 5 10 15 20等,方便修改)

处理动作:permit允许或者deny拒绝

通配符:表示了地址的范围

由上而下一次匹配,一旦匹配立即停止匹配应用规则

应用规则:进入端口应用规则

?4.2通配符掩码

0表示不可变,1表示可变,0和1可以穿插。

  • 单个地址

192.168.1.1? ?通配符掩码为0(32位都不可变)

  • ?网段

192.168.1.0/24? ?通配符掩码为0.0.0.255(前24位主机位不可变,后8位主机位可以随意变)

  • ?表示192.168.1.1/24-192.168.1.7/24

0000 0001

0000 0010

0000 0011

0000 0100?

0000 0101

0000 0110

0000 0111

----------------------有0有1为1,全0全1为0

0000 0111

前24位不变,后8位为0000 0111,也就是通配符掩码为0.0.0.7

  • 表示192.168.1.0/24? 全部偶数

0000 0000,0000 0010,0000 0100,0000 0110。。。。。。

二进制最后一位一定为0,0.0.0.1111 1110

255-1=254

通配符掩码为0.0.0.254

练习

Client1只能和Server2通信

ACL和NAT

AR1配置如下:

u t m

sys

sys R1

int g0/0/0

ip add 192.168.1.254 24

int g0/0/1

ip add 192.168.2.254 24

int g0/0/2

ip add 192.168.3.254 24

q

acl 2000

rule deny source 192.168.1.1 0? ? ? ? //默认编号5 ?拒绝 ?来自192.168.1.1 的流量

int g0/0/1

traffic-filter outbound acl 2000? ? ? ? //数据流向在outbound方向接口下调用acl 2000

ACL和NAT

int g0/0/1

undo traffic-filter outbound

ACL和NAT

?q

acl 3000

rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www

//拒绝来源于192.168.1.1 去访问192.168.2.1的tcp的80端口

int g0/0/0

traffic-filter inbound acl 3000

ACL和NAT

总结

基本ACL只可以控制源ip,所以影响范围大,那么最好放在离目的近的端口,减少影响;

高级ACL可以控制的选项较多,影响较小,建议放在离出发地近的端口,在数据处理前减少性能的占用。

二、NAT

1.概述

????????NAT(网络地址转换,Network Address Translation)是一种在计算机网络中使用的技术,它允许多个设备共享一个公共IP地址。NAT 的主要目的是解决 IPv4 地址短缺的问题,同时还可以提供一定程度的网络安全。

2.工作原理

出去的时候:将源ip地址 由私网变成公网

回来的时候:将目的ip地址 由私网变成公网

ACL和NAT

3.NAT的种类

  • 静态NAT

????????每个内部 IP 地址都永久映射到一个特定的公共 IP 地址。

以工作原理图为例,对企业出口路由器做静态NAT,使PC1能够访问运营商设备

对企业出口路由器的配置如下:

int g0/0/0

ip add 192.168.1.254 24

int g0/0/1

ip add 200.1.1.1 24

nat static enable

nat static global 200.1.1.1 inside 192.168.1.1? ? ? ? //将内部网络中的私有IP地址192.168.1.1静态映射到外部网络上的公有IP地址200.1.1.1

  • 动态NAT

????????使用一个私有IP地址池和一个公有IP地址池,每次内部设备访问互联网时,动态NAT会从公有IP地址池中选择一个未使用的公有IP地址进行映射。

以工作原理图为例,对企业出口路由器做动态NAT,使PC1和PC2能够访问运营商设备

int g0/0/1

undo?nat static global 200.1.1.1 inside 192.168.1.1

nat address-group 1 200.1.1.10 200.1.1.50? ? ? ? //定义一个NAT地址组,编号为1,包含从200.1.1.10到200.1.1.50的公有IP地址

nat outbound 2000 address-group 1? ? ? ? //对于匹配ACL 2000的内部网络流量,将其源IP地址转换为NAT地址组1中的一个可用公有IP地址

acl 2000

rule permit source 192.168.1.0 0.0.0.255? ? ? ? //允许源IP地址在192.168.1.0/24网段内的数据包通过

//如果不生效

<>save

reboot

display nat session all

  • easy-ip

????????它允许内部网络的多个设备共享一个公共 IP 地址访问外部网络。将ip地址和端口号一起转换。

? ? ? ? 工作过程:使用ACL列表匹配私网ip地址;将所有的私网地址映射成路由器当前接口的公网地址。

以工作原理图为例,对企业出口路由器做easy-ip,使PC1和PC2能够访问运营商设备

acl 2000

rule permit source 192.168.1.0 0.0.0.255

int g0/0/1

undo?nat address-group 1 200.1.1.10 200.1.1.50

nat outbound 2000

  • nat-server

????????内网服务器的相应端口映射成路由器公网ip地址的相应端口 ?

ACL和NAT

企业出口路由器到运营商设备做默认路由:ip route-static 0.0.0.0 0 200.1.1.2

对企业出口路由器的配置

int g0/0/0

ip add 192.168.1.254

int ?g0/0/1 ip address 200.1.1.1 255.255.255.0? nat server protocol tcp global current-interface www inside 192.168.1.100 www//当外部网络中的设备尝试通过当前接口的IP地址访问HTTP服务(端口80)时, 防火墙会将这些请求的源地址转换为内部网络中IP地址为192.168.1.100的设备, 并将请求的目标端口80映射到该内部设备的80端口。 nat static enable

?把内网的192.168.1.100的80端口映射到外网的200.1.1.1的80端口上,访问200.1.1.1即访问的是192.168.1.100

ACL和NAT

上一篇:lg电视开不了机是什么原因(lg电视指示灯不亮开不了机的原因和解决办法)
下一篇:vivo绕过锁屏密码漏洞(我的旧vivo手机忘记锁屏密码了,有什么办法可以破解吗)