当前位置:   article > 正文

网络基础——ACL和NAT介绍_nat acl

nat acl

一、ACL介绍

ACL(访问控制列表):用于过滤流量。

1、ACL的作用及匹配机制

作用
①用来对数据包做访问控制(丢弃或者放行)
②结合其他协议,用来匹配范围

匹配机制:一个ACL可配置多条规则,匹配时是从上往下一次匹配,匹配到即停止,华为设备默认放通所有

2、ACL的工作原理

当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。

3、ACL的种类

基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。

4、ACL的操作命令

acl number 2000 	                      ##创建acl 2000
rule 5 deny source 192.168.1.1 0	      ##拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号
traffic-filter outbound acl 2000 	      ##接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向
rule permit source 192.168.1.0 0.0.0.255  ##permit代表允许,source代表来源,掩码部分为反掩码    
rule deny source any                      ##拒绝所有访问,any代表所有
  • 1
  • 2
  • 3
  • 4
  • 5

二、ACL实战配置

1、实验目的

同一个局域网中,要求仅允许PC1能访问server

2、实验拓扑图

在这里插入图片描述

3、实验步骤

第一步,将PC1、PC2、Server1的IP地址以及掩码网关配置完毕。
在这里插入图片描述
第二步:配置路由器接口地址并检测PC1、PC2是否都可以访问server1

<Huawei>sys                                                     ##进入系统视图
[Huawei]undo info-center enable                                 ##关闭系统视图提示
[Huawei]sys AR1                                                 ##修改路由器名称
[AR1]int g0/0/0                                                 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24           ##设置g0/0/0接口IP地址
[AR1-GigabitEthernet0/0/0]int g0/0/1                            ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24           ##设置g0/0/1接口IP地址
[AR1-GigabitEthernet0/0/1]q                                     ##退回上一层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

在这里插入图片描述
第三步:在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器。

[AR1]acl 2000                                                    ##创建基础级ACL 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.2 0             ##添加规则,拒绝源ip为192.168.1.2
[AR1-acl-basic-2000]int g0/0/1                                   ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000       ##接口出方向调用acl 2000规则
[AR1-GigabitEthernet0/0/1]un sh                                  ##开启端口
[AR1-GigabitEthernet0/0/1]q                                      ##退回上一层

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

第四步:配置完毕检测访问结果,如下图可以看出配置完ACL后PC1依然可以访问server1,PC2不能访问server1至此实验完毕。
在这里插入图片描述

三、NAT介绍

NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访

1、NAT的作用

通过对网络地址转换,实现内网地址和公网地址的互相访问

2、NAT的工作原理

  • 内网向外网发送报文时,NAT将报文的源IP地址由私网地外转换为对应的公网场址,外网向内网发送响应报文时,NAT将报文的目的地址转换为相应的私网地址
    在这里插入图片描述

3、NAT的种类

  • 静态NAT:私网IP和公网IP是一对一的关系,并且需要一对一绑定

  • 动态NAT:私网IP和公网IP是一对一的关系,需要定义公网IP地址池,私网转换时会轮询地址池里的每个IP地址

4、NAT的优缺点

  • 优点
    节省合法的公有ip地址,地址重叠时,提供解决办法,增强灵活性和安全性。

  • 缺点
    延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)。

5、NAT的配置命令

  • 静态NAT
第一种:
全局模式下设置静态NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10                      ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
[R1]int g0/0/1			                                                ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static enable 		                        ##在网口上启动nat static enable 功能
---------------------------------------------------------------------------------------
第二种:直接在接口上声明nat static
[R1]int g0/0/1			                                                 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10  ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 动态NAT
[R1]nat address-group 1 200.1.1.10 200.1.1.15                        ##建立动态nat地址池
[R1]acl number 2000                                                  ##创建acl  2000
[R1]rule 5 permit source 192.168.1.0 0.0.0.255                       ####添加规则允许源地址为192.168.1.0的用户通过
[R1]int g0/0/1                                                       ##进入g0/0/1端口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat    ##将规则添加在出口
  • 1
  • 2
  • 3
  • 4
  • 5
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
相关标签
  

闽ICP备14008679号