赞
踩
目录
ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理
3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理
NAT(Network Address Translator,网络地址转换)是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4短缺而开发的技术
如下图所示,以 10.0.0.10 的主机与 163.221.120.9 的主机进行通信为例讲解 NAT 的工作机制。利用 NAT,途中的 NAT 路由器将发送源地址从 10.0.0.10 转换为全局的 IP 地址(202.244.174.37)再发送数据。反之,当响应数据从 163.221.120.9 发送过来时,目标地址(202.244.174.37)先被转换成私有 IP 地址 10.0.0.10 以后再被转发。
在整个流程当中,最关键的有以下几点:
NAT 有 3 中类型:
内部本地地址一对一转换成内部全局地址,相当内部本地的每一台PC都绑定了一个全局地址。一般用于在内网中对外提供服务的服务器
在内部本地地址转换的时候,在地址池中选择一个空闲的,没有正在被使用的地址,来进行转换,一般选择的是在地址池定义中排在前面的地址,当数据传输或者访问完成时就会放回地址池中,以供内部本地的其他主机使用,但是,如果这个地址正在被使用的时候,是不能被另外的主机拿来进行地址转换的
面对私网内部数量庞大的主机,如果NAT只进行IP地址的简单替换,就会产生一个问题:当有多个内部主机去访问同一个服务器时,从返回的信息不足以区分响应应该转发到哪个内部主机。此时,需要 NAT 设备根据传输层信息或其他上层协议去区分不同的会话,并且可能要对上层协议的标识进行转换,比如 TCP 或 UDP 端口号。这样 NAT 网关就可以将不同的内部连接访问映射到同一公网IP的不同传输层端口,通过这种方式实现公网IP的复用和解复用。这种方式也被称为端口转换PAT、NAPT或IP伪装,但更多时候直接被称为NAT,因为它是最典型的一种应用模式。
PC1
IP地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254
PC2
IP地址:192.168.1.2
子网掩码:255.255.255.0
网关:192.168.1.254
AR1
- <Huawei>undo terminal monitor ##关闭用户视图提示
- <Huawei>system-view ##进入系统视图
- [Huawei]interface g0/0/0 ##进入g0/0/0接口
- [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 ##接口配置ip地址
- [Huawei-GigabitEthernet0/0/0]interface g0/0/1 ##进入g0/0/1接口
- [Huawei-GigabitEthernet0/0/1]ip address 200.1.1.1 24 ##接口配置ip地址
- [Huawei-GigabitEthernet0/0/1]q ##退出当前返回至系统视图模式
- [Huawei]ACL 2000 ##创建初级ACL 2000
- [Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##添加规则允许源地址为
-
- 192.168.1.0的用户通过
-
- [Huawei-acl-basic-2000]quit ##返回系统视图
- [Huawei]int g0/0/1 ##进入g0/0/1接口
- [Huawei-GigabitEthernet0/0/1]nat outbound 2000 ##在此接口配置出口nat并调用acl 200规则
AR2
- <Huawei>undo terminal monitor ##关闭用户视图提示
- <Huawei>system-view ##进入系统视图
- [Huawei]interface g0/0/0 ##进入g0/0/0接口
- [Huawei-GigabitEthernet0/0/0]ip address 200.1.1.254 24 ##接口配置ip地址
PC1和PC2分别ping AR1 测试是否正常通信
PC1 ping AR1
PC2 ping AR1
实验成功
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。