HCIA学习笔记(6)-ACL+NAT

ACL:访问控制列表

  1. 访问控制-------在路由器的入或者出接口上,匹配流量,之后产生动作-----只有允许或拒绝  
  2. 定义感兴趣流量------帮助其他策略去抓流量

匹配规则:至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科体系中,末尾隐含拒绝所有,在华为体系中,末尾隐含允许所有。

分类:

标准-----仅关注数据包中的源IP地址

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

标准acl:由于标准ACL仅关注数据包中的源IP地址,故调用时尽量靠近目标,避免对其他地址的访问被误杀。

2000-2999:  标准acl的编号

3000-3999:   扩展acl的编号  

每一个编号都代表一张表,一张表中可以容纳大量的acl具体规则。

[R2]acl 2000 创建acl 编号为2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0  规定 拒绝源IP为 192.168.1.2

在匹配地址时,需要使用通配符

ACL的通配符和OSPF的反掩码唯一区别在于可以进行0  1 穿插

[R2-acl-basic-2000]rule  permit source 192.168.2.0 0.0.0.255

规定允许 192.168.2.0/24网段通过  

[R2-acl-basic-2000]rule permit source any 规定允许所有网段通过  

[R2]interface g 0/0/1 进入需要调用acl的接口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上 调用 acl2000

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

由于扩展ACL对流量进行了精确匹配,故可以避免误杀,因此,调用时,尽量靠近源。

1,关注数据包中源IP 目标IP

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0  

规定 拒绝 源为 192.168.1.2 向 目标 192.168.3.2 的IP行为

[R1]interface g 0/0/1 进入相关接口

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 在该接口的进入方向上 调用acl3000

2.在关注源IP 目标IP 的同时,再关注目标端口号

Telnet 远程登录  基于TCP 23端口

条件:

1.登录设备与被登录设备之间必须可达

2.被登陆设备需要开启telnet设定

[R1]aaa 开启aaa服务

[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的账户,权利等级为15 密码123456

[R1-aaa]local-user MXY service-type telnet 定义该账户类型为telnet

[R1]user-interface vty 0 4 创建虚拟通道  开放五个窗口

[R1-ui-vty0-4]authentication-mode aaa定义该通道服务于aaa服务

[R1-acl-adv-3000]rule  deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23

规定  拒绝 源 192.168.1.10 向 目标 192.168.2.1 基于tcp协议的端口号为23行为

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0  规定 拒绝 源 192.168.1.10 向目标 192.168.1.1 的icmp行为  

NAT:

公有------全球唯一性,可以在互联网中通讯,付费使用

私有------本地唯一性,不可在互联网中通信,免费试用

私网地址:

A类:10.0.0.0---10.255.255.255

B类:172.16.0.0-----172.31.255.255

C类:192.168.0.0---192.168.255.255  

NAT----网络地址转换,在边界路由器上,进行公有和私有IP地址间的转换

NAT的分类:静态NAT  动态NAT  NAPT  端口映射

华为设备配置NAT必须在边界路由起的出接口上进行配置。

静态NAT  

通过配置在边界路由器上建立维护一张静态地址映射表,静态地址映射表反映了公有IP地址和私有IP地址之间一一对应的关系。

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2   将 公网地址 12.1.1.3  和 私网地址 192.168.1.2 相互映射

[R2]display  nat  static  查看nat映射关系  

动态NAT:动态NAT和静态NAT的最大区别就在于地址映射表的内容是可变化的,而不是写死的,所以,冬天NAT不再是一对一的关系而是实现多对多的转换。

动态NAT在同一时间,还是一个公网IP对应一个私网IP。所以当上网需求较大时,便只能排队使用,造成延时上升。

为了解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上,再维护一张源端口和私网地址的映射关系的表,因为端口号的取值范围时0-65535,即65536个 ,所以一个公网地址同时支持通过的数据包数量最大为65536个。当上网需求非常大时,一个公网地址可能不够用了,我们也可以同时使用多个公网地址,从而实现65536的倍数增长,形成多对多。

像这种以端口进行分辨的一对多,我们称之为----NAPT

一对多的NAPT在华为体系中又被称之为 EASY-IP  

一对多:

[R2-acl-basic-2000]rule  permit  source 192.168.0.0 0.0.255.255

创建acl2000,定义源IP以 192.168开头的所有地址 为感兴趣流量

[R2-GigabitEthernet0/0/1]nat outbound 2000 在边界路由起的出接口的出方向上,将acl2000调用于NAT  

多对多:

 [R2]nat address-group 1 12.1.1.3 12.1.1.10 创建公网地址池,其中包含 12.1.1.3----12.1.1.10  

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 将acl2000抓捕的流量交给公网地址池1 进行nat转换

No-pat  ---添加 则为静态多对多  不添加 则为 动态多对多

静态多对多---多个一对一

动态多对多---多个一对多  

端口映射:

[R2-GigabitEthernet0/0/1]nat  server  protocol  tcp global current-interface 80 inside 192.168.1.10 80

将该接口的80端口  基于协议的tcp 协议映射于 私网地址 192.168.1.10 的80端口  

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80  将该接口的8080端口 基于协议的tcp协议 映射于 私网地址 192.168.1.20的80端口  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/46230.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QTableView仿Excel表头排序和筛选

一.效果 Excel的排序和筛选弹窗如下所示 功能非常强大。不仅支持内容排序和筛选,还支持颜色的排序和筛选,而且还支持设置多种过滤条件。本文只仿最常用的内容排序和内容单过滤条件的筛选,效果如下所示。 从效果图中可以看出,表头Section中的按钮有下列六种状态 enum Butt…

算法的时间复杂度和空间复杂度-例题

一、消失的数字 . - 力扣&#xff08;LeetCode&#xff09; 本题要求的时间复杂度是O(n) &#xff0c;所以我们不能用循环嵌套&#xff1b; 解法一&#xff1a; int missingNumber(int* nums, int numsSize){int sum10;for(int i0;i<numsSize;i){sum1i;}int sum20;for(i…

成为CMake砖家(3):Windows安装make.exe

大家好&#xff0c;我是白鱼。相信很多朋友已经在用 CMake 做交叉编译了&#xff0c; 而交叉编译往往少不了 make.exe, 这篇来讲讲 make.exe 在 Windows 上的安装。 1. 交叉编译需要 generator CMake 本身是一个 meta build tool&#xff0c; 或者说它是派发任务到具体的 bui…

云计算练习题

第一题&#xff1a;每周日晚上11点59分需要将/data目录打包压缩到/mnt目录下并以时间命名 #crontab -e 59 23 * * 7 /bin/tar czvf /mnt/date %F-data.tar.gz /data 59 23 * * 7 /bin/tar czvf /mnt/date %T.tar.gz /data 第二题&#xff1a;查找出系统中/application目录下所有…

数据库使用SSL加密连接

简介 数据库开通SSL加密连接是确保数据传输过程中安全性的关键措施&#xff0c;它通过加密数据、验证服务器身份、保护敏感信息、维护数据完整性和可靠性&#xff0c;同时满足行业标准和法规要求&#xff0c;进而提升用户体验和信任度&#xff0c;为企业的数据安全和业务连续性…

离线语音识别芯片在智能生活中的应用

离线语音识别芯片&#xff0c;这一技术正逐渐渗透到我们日常生活的每一个角落&#xff0c;为众多产品带来前所未有的智能体验。它能够应用到多种产品中&#xff0c;‌包括但不限于&#xff1a;‌ 1、智能音箱&#xff1a;‌语音识别芯片作为智能音箱的核心&#xff0c;‌使用户…

钢铁与不锈钢区别

钢铁与不锈钢是两种比较特殊的金属材料&#xff0c;它们之间的主要区别可以从以下几个方面进行探讨&#xff1a; 钢属碳素钢&#xff1a;钢铁是含碳量介于0.02%至1.7%之间的铁合金&#xff0c;主要成分是铁&#xff08;Fe&#xff09;和碳&#xff0c;其中铁约占80%以上。它们…

Linux开发:Ubuntu22.04安装libcurl4

libcurl是一个跨平台的网络协议库&#xff0c;支持http, https, ftp, gopher, telnet, dict, file, 和ldap 协议。libcurl同样支持HTTPS证书授权&#xff0c;HTTP POST, HTTP PUT, FTP 上传, HTTP基本表单上传&#xff0c;代理&#xff0c;cookies,和用户认证等&#xff0c;使用…

DNS域名解析原理及配置

目录 一、DNS原理 什么是DNS DNS 的作用 DNS 的工作原理 1. 用户输入域名 2. 查询本地 DNS 服务器 3. 递归查询 4. 根域名服务器 5. 顶级域名服务器 6. 权威 DNS 服务器 7. 返回结果 两种查询方式 二、DNS服务器系统类型 主域名服务器 从域名服务器 缓存域名服务…

搭建一个高并发的Web商品推荐系统,如何涉及软件架构?

搭建一个高并发的Web商品推荐系统&#xff0c;如何涉及软件架构 在搭建一个高并发的Web商品推荐系统时&#xff1a; 微服务架构&#xff1a; 为了支持高并发&#xff0c;我们可以采用微服务架构&#xff0c;将系统拆分成小型、独立的服务&#xff0c;每个服务专注于特定的功…

昇思25天学习打卡营第25天|GAN图像生成

学AI还能赢奖品&#xff1f;每天30分钟&#xff0c;25天打通AI任督二脉 (qq.com) GAN图像生成 模型简介 生成式对抗网络(Generative Adversarial Networks&#xff0c;GAN)是一种生成式机器学习模型&#xff0c;是近年来复杂分布上无监督学习最具前景的方法之一。 GAN论文逐…

C++ 入门11:虚函数和多态

往期回顾&#xff1a; C 入门08&#xff1a;运算符重载-CSDN博客 C 入门09&#xff1a;友元函数和友元类-CSDN博客 C 入门10&#xff1a;继承和派生类-CSDN博客 C 入门第十一天&#xff1a;虚函数和多态 一、前言 在前面的文章学习中&#xff0c;我们了解了类和对象的基础知识…

1.32、 基于区域卷积神经网络(R-CNN)的停车标志检测(matlab)

1、基于区域卷积神经网络(R-CNN)的停车标志检测原理及流程 基于区域卷积神经网络&#xff08;R-CNN&#xff09;的停车标志检测原理及流程如下&#xff1a; 原理&#xff1a; R-CNN 是一种用于目标检测的深度学习模型&#xff0c;其核心思想是首先在输入图像中提取出候选区域&…

优化调试体验:让PyCharm的调试过程飞起来

优化调试体验&#xff1a;让PyCharm的调试过程飞起来 PyCharm是一款功能强大的Python集成开发环境&#xff08;IDE&#xff09;&#xff0c;它提供了许多便利的调试工具来帮助开发者快速定位和解决问题。然而&#xff0c;在某些情况下&#xff0c;用户可能会遇到调试过程缓慢的…

请结合一个问题bug,帮忙梳理一下DecorView和Window之间的关系

在Android开发中&#xff0c;DecorView 和 Window 是两个核心概念&#xff0c;它们在用户界面显示和布局管理中扮演着重要角色。为了更好地理解它们之间的关系&#xff0c;并通过一个假设的bug场景来梳理它们&#xff0c;我们可以从以下几个方面进行阐述。 1. Window 的概念 …

Typescript Vue3中的defineProps接收参数,并withDefaults设置默认值

1. defineProps&#xff1a;接收父组件传递的参数 2. withDefaults&#xff1a;接收时设置默认值 这两个api都不需要引入&#xff0c;可直接在setup中使用 1. person.vue接收参数 <script setup lang"ts">import type {Persons} from /types// 接收list 可不…

springboot3 web

springboot web配置 springboot web的配置有&#xff1a; SpringMvc配置的前缀为&#xff1a;spring.mvcweb场景的通用配置为&#xff1a;spring.web文件上传的配置为&#xff1a;spring.servlet.multipart服务器相关配置为&#xff1a;server 接管SpringMVC 的三种方式 方…

【算法】无重复字符的最长子串

难度&#xff1a;中等 题目 给定一个字符串 s &#xff0c;请你找出其中不含有重复字符的 最长子串的长度。 示例&#xff1a; 示例1&#xff1a; 输入&#xff1a;s “abcabcbb” 输出&#xff1a;3 解释&#xff1a;因为无重复字符的最长子串是 “abc”&#xff0c;所以…

1.26、基于概率神经网络(PNN)的分类(matlab)

1、基于概率神经网络(PNN)的分类简介 PNN(Probabilistic Neural Network,概率神经网络)是一种基于概率论的神经网络模型,主要用于解决分类问题。PNN最早由马科夫斯基和马西金在1993年提出,是一种非常有效的分类算法。 PNN的原理可以简单概括为以下几个步骤: 数据输入层…