一、ACL介绍
ACL(访问控制列表):用于过滤流量。
1、ACL的作用及匹配机制
作用:
①用来对数据包做访问控制(丢弃或者放行)
②结合其他协议,用来匹配范围
匹配机制:一个ACL可配置多条规则,匹配时是从上往下一次匹配,匹配到即停止,华为设备默认放通所有
2、ACL的工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
3、ACL的种类
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。
4、ACL的操作命令
acl number 2000 ##创建acl 2000
rule 5 deny source 192.168.1.1 0 ##拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号
traffic-filter outbound acl 2000 ##接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向
rule permit source 192.168.1.0 0.0.0.255 ##permit代表允许,source代表来源,掩码部分为反掩码
rule deny source any ##拒绝所有访问,any代表所有
二、ACL实战配置
1、实验目的
同一个局域网中,要求仅允许PC1能访问server
2、实验拓扑图
3、实验步骤
第一步,将PC1、PC2、Server1的IP地址以及掩码网关配置完毕。
第二步:配置路由器接口地址并检测PC1、PC2是否都可以访问server1
<Huawei>sys ##进入系统视图
[Huawei]undo info-center enable ##关闭系统视图提示
[Huawei]sys AR1 ##修改路由器名称
[AR1]int g0/0/0 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 ##设置g0/0/0接口IP地址
[AR1-GigabitEthernet0/0/0]int g0/0/1 ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24 ##设置g0/0/1接口IP地址
[AR1-GigabitEthernet0/0/1]q ##退回上一层
第三步:在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器。
[AR1]acl 2000 ##创建基础级ACL 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.2 0 ##添加规则,拒绝源ip为192.168.1.2
[AR1-acl-basic-2000]int g0/0/1 ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ##接口出方向调用acl 2000规则
[AR1-GigabitEthernet0/0/1]un sh ##开启端口
[AR1-GigabitEthernet0/0/1]q ##退回上一层
第四步:配置完毕检测访问结果,如下图可以看出配置完ACL后PC1依然可以访问server1,PC2不能访问server1至此实验完毕。
三、NAT介绍
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访
1、NAT的作用
通过对网络地址转换,实现内网地址和公网地址的互相访问
2、NAT的工作原理
- 内网向外网发送报文时,NAT将报文的源IP地址由私网地外转换为对应的公网场址,外网向内网发送响应报文时,NAT将报文的目的地址转换为相应的私网地址
3、NAT的种类
-
静态NAT:私网IP和公网IP是一对一的关系,并且需要一对一绑定
-
动态NAT:私网IP和公网IP是一对一的关系,需要定义公网IP地址池,私网转换时会轮询地址池里的每个IP地址
4、NAT的优缺点
-
优点
节省合法的公有ip地址,地址重叠时,提供解决办法,增强灵活性和安全性。文章来源:https://www.toymoban.com/news/detail-787468.html -
缺点
延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)。文章来源地址https://www.toymoban.com/news/detail-787468.html
5、NAT的配置命令
- 静态NAT
第一种:
全局模式下设置静态NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10 ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
[R1]int g0/0/1 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static enable ##在网口上启动nat static enable 功能
---------------------------------------------------------------------------------------
第二种:直接在接口上声明nat static
[R1]int g0/0/1 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10 ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
- 动态NAT
[R1]nat address-group 1 200.1.1.10 200.1.1.15 ##建立动态nat地址池
[R1]acl number 2000 ##创建acl 2000
[R1]rule 5 permit source 192.168.1.0 0.0.0.255 ####添加规则允许源地址为192.168.1.0的用户通过
[R1]int g0/0/1 ##进入g0/0/1端口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat ##将规则添加在出口
到了这里,关于网络基础——ACL和NAT介绍的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!