ACL和NAT
目录
1、ACL
1.1ACL的基本原理和基本作用
1.2区分ACL的不同种类及特点
1.3描述ACL规则的基本组成结构和匹配顺序
1.4ACL中通配符的使用方法
1.5ACL的基本组网配置及实验
2、NAT
2.1NAT技术原理
2.2NAT实验
1、ACL
1.1ACL的基本原理和基本作用
ACL是由一系列的permit或deny语句组成、有序规则的列表,ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL的应用有很多,可以匹配IP流量,在Traffic-filter中被调用,在NAT中被调用。在路由策略中被调用,在防火墙的策略部署中被调用,在QoS中被调用。ACL有两种应用,一是应用在接口的ACL---过滤数据包(源目IP地址,源目mac,端口,五元组),二是应用在路由协议---匹配相应的路由条目,三是NAT/IPSEC VPN、QOS---匹配感兴趣的数据流。
ACL的工作原理:当数据包从接口经过时,由于接口启动了acl',此时路由器会对报文进行检查,然后做出相应的处理。
1.2区分ACL的不同种类及特点
编号2000-2999---基本 ACL--依据数据包中的源IP地址匹配数据(数据从哪个IP地址过来的)
编号3000-3999---高级 ACL--依据数据包中源、目的IP,源目的短裤,协议号匹配数据
编号4000-4999---二层 ACL,Mac,VLAN-id,802.1q
规则编号 :
1.3描述ACL规则的基本组成结构和匹配顺序
ACL的匹配机制是从上到下依次匹配,一旦匹配,立即停止,不再匹配
1.4ACL中通配符的使用方法
通配符掩码:可以0 1 穿插 0对应不可变,1对应可变,0/1可以穿插
192.168.1.1/24
192.168.1.2/24
第一个化成二进制为1100 0000.10101000.00000001.00000001
第二个化成二进制为1100 0000 10101000.00000001.00000010
得
0.0.0.3
1.5ACL的基本组网配置及实验
ACL访问控制列表
1、建立归则
2、进入端口,判断数据流向
3、进入接口,调用规则 inbound还是outbound
首先进行客户机和服务器的配置
路由器的配置如下:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR1-GigabitEthernet0/0/1]ping 192.168.1.1
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24在配置完路由器的端口号之后测试是否能ping通
然后再对路由器进行ACL配置,分别是permit允许和deny拒绝,代码如下:
[AR1]acl number 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.1 0
[AR1-acl-basic-2000]q
[AR1]dis acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 permit source 192.168.1.1 0
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.1 0
[AR1-acl-basic-2000]dis acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.1 0
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[AR1-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.255.0
traffic-filter outbound acl 2000
当执行完拒绝命令后,和192.168.2.1 的网段测试是连不通的,测试结果如下:
打开服务器中的服务器信息,然后选httpsever启动,
到客户机2的客户端信息中获取192.168.2.1网段
但是客户机1获取不到,超时了。
把undo traffic-filter outbound 这条命令去掉,就能连通了
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo traffic-filter outbound 
开启文件协议,通过网络,将这些度共享出来
客户机登录就能找到文件
2、NAT
2.1NAT技术原理
NAT是对IP数据报文的IP地址进行转换,是一种在现网中被规范部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公网地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址。
静态NAT
一个外网地址对应一个内网地址
动态NAT
建立一个外网地址池,
当多台内网去访问外网时,从池子里获取一个未被使用的地址,
在池子中已经被使用的地址, 会被打上已使用标签,不会再次分配给其他主机
NAPT
MAT SERVER
将内网服务端口映射成外网服务的地址
easy-ip
和端口地址一起转换
2.2NAT实验
企业出口的路由器配置:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[Huawei-GigabitEthernet0/0/1]nat static enable
[Huawei-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1
运营商的路由器配置:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 200.1.1.2 24
测试pc1能否ping通200.1.1.1网段:
