ACL与NAT

 1.背景:

          只有总裁办公室能访问财务,其它部门和外部不能访问,为保证公司财务数据安全,而研发的工具

ACL与NAT_第1张图片

2.ACL(Access Control List)访问控制列表

     工作原理:

            当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

作用

(1)过滤流量,然后匹配规则后判断流量通过或拒绝

(2)在NAT(网络地址转换Network Address Translation)里  匹配感兴趣的流量     

类型;

基本ACL   编号2000-2999   只能限制源ip地址

高级ACL   编号3000-3999   依据数据包中源.目的端口(软件 微信 qq).协议号匹配数据

二层ACL    编号4000-4999   MAC VLAN-id 802.1q(一般不用)

组成:

      由若干条permit或deny语句组成,每条语句就是该ACL的一条规则,每条语句中的permit(允许)或deny(拒绝)就是与这条规则相对应的处理动作。

 ACL与NAT_第2张图片

 

 3.基本acl书写格式

acl 2000

rule permit(permit) source ip地址 通配符掩码

子网掩码的作用::连续的1 代表网络位       配置IP地址时用
                                 255.255.255.0
                                11111111.11111111.11111111.00000000
反掩码: 连续的0  代表网络位                       路由协议(ospf协议)   

                                   0.0.0.255

                                  00000000.00000000.00000000.11111111
 通配符掩码:可以0 1穿插                             0不可变 1可变
 

 4.实验

 限制Client1流量,使它不能访问Server1。而Client2能访问

ACL与NAT_第3张图片 

 AR1:

u t m

sys

sys R1

int g0/0/0

ip add 192.168.1.254 24

int g0/0/1 

ip add 192.168.2.254 24

int g0/0/2

ip add 192.168.3.254

q

acl 2000

rule deny source 192.168.1.1 0(默认规则5)

dis th(查看)

q

int g0/0/1

(基础acl最好离目的地近)

traffic-filter outbound acl 2000(流量匹配出口规则acl2000)

此时Client1不能访问Server1:

 ACL与NAT_第4张图片

5.高级acl

int g0/0/1

undo traffic-filter outbound acl 2000(去除规则acl2000)

acl 3000

rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www

不让192.168.1.1去访问192.168.2.1的tcp80端口(www web 服务) 

dis th

q

int g0/0/0

高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源

traffic-filter inbound acl 3000

已不能访问

ACL与NAT_第5张图片

6。NAT

     网络地址转换(Network Address Translation)

把内网的私有地址,转化成外网的公有地址

多个私网用户可以公用一个公网地址

     从私网到外网将源私网地址改成源公网地址

     外网到私网将目的的公网改成目的私网地址

7.NATPT(端口映射)

 NAT Server:内网服务器对外提供服务,针对目的ip和目的端口映射

 可以让用户访问内网服务器

 内网服务器的相应端口映射成路由器公网ip地址的相应端口

你可能感兴趣的:(网络)