HCIA学习笔记(6)-ACL+NAT

ACL:访问控制列表

  1. 访问控制-------在路由器的入或者出接口上,匹配流量,之后产生动作-----只有允许或拒绝  
  2. 定义感兴趣流量------帮助其他策略去抓流量

匹配规则:至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科体系中,末尾隐含拒绝所有,在华为体系中,末尾隐含允许所有。

分类:

标准-----仅关注数据包中的源IP地址

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

标准acl:由于标准ACL仅关注数据包中的源IP地址,故调用时尽量靠近目标,避免对其他地址的访问被误杀。

2000-2999:  标准acl的编号

3000-3999:   扩展acl的编号  

每一个编号都代表一张表,一张表中可以容纳大量的acl具体规则。

[R2]acl 2000 创建acl 编号为2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0  规定 拒绝源IP为 192.168.1.2

在匹配地址时,需要使用通配符

ACL的通配符和OSPF的反掩码唯一区别在于可以进行0  1 穿插

[R2-acl-basic-2000]rule  permit source 192.168.2.0 0.0.0.255

规定允许 192.168.2.0/24网段通过  

[R2-acl-basic-2000]rule permit source any 规定允许所有网段通过  

[R2]interface g 0/0/1 进入需要调用acl的接口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上 调用 acl2000

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

由于扩展ACL对流量进行了精确匹配,故可以避免误杀,因此,调用时,尽量靠近源。

1,关注数据包中源IP 目标IP

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0  

规定 拒绝 源为 192.168.1.2 向 目标 192.168.3.2 的IP行为

[R1]interface g 0/0/1 进入相关接口

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 在该接口的进入方向上 调用acl3000

2.在关注源IP 目标IP 的同时,再关注目标端口号

Telnet 远程登录  基于TCP 23端口

条件:

1.登录设备与被登录设备之间必须可达

2.被登陆设备需要开启telnet设定

[R1]aaa 开启aaa服务

[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的账户,权利等级为15 密码123456

[R1-aaa]local-user MXY service-type telnet 定义该账户类型为telnet

[R1]user-interface vty 0 4 创建虚拟通道  开放五个窗口

[R1-ui-vty0-4]authentication-mode aaa定义该通道服务于aaa服务

[R1-acl-adv-3000]rule  deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23

规定  拒绝 源 192.168.1.10 向 目标 192.168.2.1 基于tcp协议的端口号为23行为

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0  规定 拒绝 源 192.168.1.10 向目标 192.168.1.1 的icmp行为  

NAT:

公有------全球唯一性,可以在互联网中通讯,付费使用

私有------本地唯一性,不可在互联网中通信,免费试用

私网地址:

A类:10.0.0.0---10.255.255.255

B类:172.16.0.0-----172.31.255.255

C类:192.168.0.0---192.168.255.255  

NAT----网络地址转换,在边界路由器上,进行公有和私有IP地址间的转换

NAT的分类:静态NAT  动态NAT  NAPT  端口映射

华为设备配置NAT必须在边界路由起的出接口上进行配置。

静态NAT  

通过配置在边界路由器上建立维护一张静态地址映射表,静态地址映射表反映了公有IP地址和私有IP地址之间一一对应的关系。

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2   将 公网地址 12.1.1.3  和 私网地址 192.168.1.2 相互映射

[R2]display  nat  static  查看nat映射关系  

动态NAT:动态NAT和静态NAT的最大区别就在于地址映射表的内容是可变化的,而不是写死的,所以,冬天NAT不再是一对一的关系而是实现多对多的转换。

动态NAT在同一时间,还是一个公网IP对应一个私网IP。所以当上网需求较大时,便只能排队使用,造成延时上升。

为了解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上,再维护一张源端口和私网地址的映射关系的表,因为端口号的取值范围时0-65535,即65536个 ,所以一个公网地址同时支持通过的数据包数量最大为65536个。当上网需求非常大时,一个公网地址可能不够用了,我们也可以同时使用多个公网地址,从而实现65536的倍数增长,形成多对多。

像这种以端口进行分辨的一对多,我们称之为----NAPT

一对多的NAPT在华为体系中又被称之为 EASY-IP  

一对多:

[R2-acl-basic-2000]rule  permit  source 192.168.0.0 0.0.255.255

创建acl2000,定义源IP以 192.168开头的所有地址 为感兴趣流量

[R2-GigabitEthernet0/0/1]nat outbound 2000 在边界路由起的出接口的出方向上,将acl2000调用于NAT  

多对多:

 [R2]nat address-group 1 12.1.1.3 12.1.1.10 创建公网地址池,其中包含 12.1.1.3----12.1.1.10  

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 将acl2000抓捕的流量交给公网地址池1 进行nat转换

No-pat  ---添加 则为静态多对多  不添加 则为 动态多对多

静态多对多---多个一对一

动态多对多---多个一对多  

端口映射:

[R2-GigabitEthernet0/0/1]nat  server  protocol  tcp global current-interface 80 inside 192.168.1.10 80

将该接口的80端口  基于协议的tcp 协议映射于 私网地址 192.168.1.10 的80端口  

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80  将该接口的8080端口 基于协议的tcp协议 映射于 私网地址 192.168.1.20的80端口  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/46230.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QTableView仿Excel表头排序和筛选

一.效果 Excel的排序和筛选弹窗如下所示 功能非常强大。不仅支持内容排序和筛选,还支持颜色的排序和筛选,而且还支持设置多种过滤条件。本文只仿最常用的内容排序和内容单过滤条件的筛选,效果如下所示。 从效果图中可以看出,表头Section中的按钮有下列六种状态 enum Butt…

算法的时间复杂度和空间复杂度-例题

一、消失的数字 . - 力扣&#xff08;LeetCode&#xff09; 本题要求的时间复杂度是O(n) &#xff0c;所以我们不能用循环嵌套&#xff1b; 解法一&#xff1a; int missingNumber(int* nums, int numsSize){int sum10;for(int i0;i<numsSize;i){sum1i;}int sum20;for(i…

成为CMake砖家(3):Windows安装make.exe

大家好&#xff0c;我是白鱼。相信很多朋友已经在用 CMake 做交叉编译了&#xff0c; 而交叉编译往往少不了 make.exe, 这篇来讲讲 make.exe 在 Windows 上的安装。 1. 交叉编译需要 generator CMake 本身是一个 meta build tool&#xff0c; 或者说它是派发任务到具体的 bui…

数据库使用SSL加密连接

简介 数据库开通SSL加密连接是确保数据传输过程中安全性的关键措施&#xff0c;它通过加密数据、验证服务器身份、保护敏感信息、维护数据完整性和可靠性&#xff0c;同时满足行业标准和法规要求&#xff0c;进而提升用户体验和信任度&#xff0c;为企业的数据安全和业务连续性…

离线语音识别芯片在智能生活中的应用

离线语音识别芯片&#xff0c;这一技术正逐渐渗透到我们日常生活的每一个角落&#xff0c;为众多产品带来前所未有的智能体验。它能够应用到多种产品中&#xff0c;‌包括但不限于&#xff1a;‌ 1、智能音箱&#xff1a;‌语音识别芯片作为智能音箱的核心&#xff0c;‌使用户…

昇思25天学习打卡营第25天|GAN图像生成

学AI还能赢奖品&#xff1f;每天30分钟&#xff0c;25天打通AI任督二脉 (qq.com) GAN图像生成 模型简介 生成式对抗网络(Generative Adversarial Networks&#xff0c;GAN)是一种生成式机器学习模型&#xff0c;是近年来复杂分布上无监督学习最具前景的方法之一。 GAN论文逐…

1.32、 基于区域卷积神经网络(R-CNN)的停车标志检测(matlab)

1、基于区域卷积神经网络(R-CNN)的停车标志检测原理及流程 基于区域卷积神经网络&#xff08;R-CNN&#xff09;的停车标志检测原理及流程如下&#xff1a; 原理&#xff1a; R-CNN 是一种用于目标检测的深度学习模型&#xff0c;其核心思想是首先在输入图像中提取出候选区域&…

springboot3 web

springboot web配置 springboot web的配置有&#xff1a; SpringMvc配置的前缀为&#xff1a;spring.mvcweb场景的通用配置为&#xff1a;spring.web文件上传的配置为&#xff1a;spring.servlet.multipart服务器相关配置为&#xff1a;server 接管SpringMVC 的三种方式 方…

对LinkedList和链表的理解

一.ArrayList的缺陷 二.链表 三.链表部分相关oj面试题 四.LinkedList的模拟实现 五.LinkedList的使用 六.ArrayList和LinkedList的区别 一.ArrayList的缺陷: 1. ArrayList底层使用 数组 来存储元素&#xff0c;如果不熟悉可以来再看看&#xff1a; ArrayList与顺序表-CSDN…

2024年7月13日全国青少年信息素养大赛Python复赛小学高年级组真题

第一题 题目描述 握情况。他决定让每个人输入一个正整数 N (0≤N≤1000)&#xff0c;然后计算并输出(5*N)的值。请用 在一个神秘的王国里&#xff0c;国王希望通过一个简单的测试来评估他的子民对基 础数学运算的掌 Python 编写程序&#xff0c;程序执行后要求用户输入一个正…

Hash表(C++)

本篇将会开始介绍有关于 unordered_map 和 unordered_set 的底层原理&#xff0c;其中底层实现其实就是我们的 Hash 表&#xff0c;本篇将会讲解两种 Hash 表&#xff0c;其中一种为开放定址法&#xff0c;另一种为 hash 桶&#xff0c;在unordered_map 和 unordered_set 的底层…

智驭未来:人工智能与目标检测的深度交融

在科技日新月异的今天&#xff0c;人工智能&#xff08;AI&#xff09;如同一股不可阻挡的浪潮&#xff0c;正以前所未有的速度重塑着我们的世界。在众多AI应用领域中&#xff0c;目标检测以其独特的魅力和广泛的应用前景&#xff0c;成为了连接现实与智能世界的桥梁。本文旨在…

20240715 每日AI必读资讯

&#x1f310; 代号“ 草莓 ”&#xff0c;OpenAI 被曝研发新项目&#xff1a;将 AI 推理能力提至新高度 - OpenAI 公司被曝正在研发代号为“ 草莓 ”的全新项目&#xff0c;进一步延伸去年 11 月宣布的 Q* 项目&#xff0c;不断提高 AI 推理能力&#xff0c;让其更接近人类的…

基于Java的休闲娱乐代理售票系统

你好&#xff0c;我是专注于Java开发的码农小野&#xff01;如果你对系统开发感兴趣&#xff0c;欢迎私信交流。 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;Java技术、SpringBoot框架、B/S架构 工具&#xff1a;Eclipse IDE、MySQL数据库管理工具…

牛客小白月赛98 (个人题解)(补全)

前言&#xff1a; 昨天晚上自己一个人打的小白月赛&#xff08;因为准备数学期末已经写烦了&#xff09;&#xff0c;题目难度感觉越来越简单了&#xff08;不在像以前一样根本写不了一点&#xff0c;现在看题解已经能看懂一点了&#xff09;&#xff0c;能感受到自己在不断进步…

2024年是不是闰年?

闰年的由来 闰年的概念最早可以追溯到古罗马时期的朱利叶斯凯撒。当时的罗马历法是根据太阳年来制定的&#xff0c;每年大约有365.25天。为了使日历与季节保持同步&#xff0c;人们需要定期插入一个额外的日子。朱利叶斯凯撒在公元前46年颁布了一项法令&#xff0c;规定每四年增…

SAP PP学习笔记26 - User Status(用户状态)的实例,订单分割中的重要概念 成本收集器,Confirmation(报工)的概述

上面两章讲了生产订单的创建以及生产订单的相关内容。 SAP PP学习笔记24 - 生产订单&#xff08;制造指图&#xff09;的创建_sap 工程外注-CSDN博客 SAP PP学习笔记25 - 生产订单的状态管理(System Status(系统状态)/User Status(用户状态)),物料的可用性检查&#xff0c;生…

最长下降序列

如何理解这个题目呢,我们可以每个人的分数放到排名上&#xff0c;然后求解最长下降序列即可 #include<bits/stdc.h> using namespace std;int n; const int N (int)1e5 5; int a[N]; int b[N]; int d[N]; int dp[N]; int t;int main() {cin >> t;while (t--) {…

Apache Hadoop之历史服务器日志聚集配置

上篇介绍绍了Apache Hadoop的分布式集群环境搭建&#xff0c;并测试了MapReduce分布式计算案例。但集群历史做了哪些任务&#xff0c;任务执行日志等信息还需要配置历史服务器和日志聚集才能更好的查看。 配置历史服务器 在Yarn中运行的任务产生的日志数据不能查看&#xff0…