ACL、NAT
目录
ACL
1.1 访问控制列表
1.2 ACL应用
1.3 ACL工作原理:
1.4 基本acd的书写格式
1.5 通配符
NAT
NAT工作机制
静态nat
NATPT(端口映射)
Easy-IP
ACL
1.1 访问控制列表
ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
复制代码1.2 ACL应用
ACL两种应用:
1.应用在接口的ACL----过滤数据包
2.应用在路由协----匹配相应的路由条目
3. NAT. IPSECVPN. 0S----匹配感兴趣的数据流
复制代码基本ACL规则定义方式的分类
| 分类 | 编号范围 | 规则定义描述 |
|---|---|---|
| 基本ACL | 2000~2999 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 |
| 高级ACL | 3000~3999 | 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、1CMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。 |
| 二层ACL | 4000~4999 | 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。 |
| 用户自定义ACL | 5000~5999 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。 |
| 用户ACL | 6000-6999 | 既可使用IPv4报文的源IP地址或源UCL (User Control List)组,也可使用目的IP地址或目的,UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 |
基于ACL标识方法的分类
| 分类 | 规则定义描述 |
|---|---|
| 数字型ACL | 传统的ACL标识方法。创建ACL时,指定- -个唯- -的数字标识该ACL. |
| 命名型ACL | 通过名称代替编号来标识ACL。 |
1.3 ACL工作原理:
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
复制代码1.4 基本acd的书写格式
ac1 2000 ##新建表格, 将你设置的过滤条件放入这个表格
rule permit | deny sburce 匹配的条件通配符掩码(用来控制匹配的范围)##添加条件
利用i p地址+通配符匹配流量
复制代码1.5 通配符
掩码、反掩码-----0和1必 须连续, 通配符掩码-----0和1可以不连续
子网掩码:必须是连续的1
反掩码:必须是连续的0
通配符掩码:0和1可以不连续 #通配符: 根据参考ip地址,通配符“1"对应位可变,“0" 对应位不可变,0/1可以穿插
复制代码实验配置
int g0/0/0##进入接口
ip address 192.168.1.254 255.255.255.0##添加IP
int g0/0/1
ip address 192.168.2.254 255.255.255.0
int g0/0/2
ip address 192.168.3.254 255.255.255.0
acl number 3000##建立acl
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)##禁止访问80端口
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter##放行其他
[R1-GigabitEthernet0/0/0]inbound acl 3000##调用acl3000
复制代码测试结果
NAT
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当
中的源ip(私有地址),翻译成公网地址
复制代码NAT (网络地址翻译): 一个数据包目的ip或者源ip为私网地址,运营商的设备无法转发数据。
静态nat
工程手动将一个私有地址和一个公网地址进行关联,一一对应,缺点和静态路由一样
复制代码实验配置
企业出口的路由配置:
[R1]int g0/0/1 ##进入接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 24##添加IP地址
[R1-GigabitEthernet0/0/1]nat static enable##开启静态nat
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1##将公网IP地址和私网IP地址绑定在一起,pc机访问运营商设备时,返回数据时会把私网地址转换成公网地址
复制代码运营商设备路由配置:
[R2]int g0/0/0##进入接口
[R2-GigabitEthernet0/0/0]ip add 200.1.1.2 24##添加IP地址
复制代码测试连通性
抓包测试
NATPT(端口映射)
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
复制代码实验配置:
企业出口路由配置:
[R1]int g0/0/0##进入接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 ##添加IP地址
[R1-GigabitEthernet0/0/0]int g0/0/1##进入接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 255.255.255.0##添加IP地址
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www inside 192.168.1.100 www##把公网当前接口的80端口配置映射到私网的端口
[R1-GigabitEthernet0/0/1]nat static enable##开启静态nat
[R1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2##配置默认路由
复制代码运营商路由配置:
[R2]]int g0/0/0##进入接口
[R2-GigabitEthernet0/0/0]ip address 200.1.1.2 255.255.255.0##添加IP地址
[R2]]int g0/0/1##进入接口
[R2-GigabitEthernet0/0/1]ip address 202.1.1.2 255.255.255.0 ##添加IP地址
复制代码用client机测试http功能
Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
复制代码
企业出口路由配置:
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
复制代码查看端口测试
先长ping 202.1.1.1查看分配端口情况
PC>ping 202.1.1.1 -t
复制代码 
[R1-GigabitEthernet0/0/1]display nat session all
复制代码