ACL:访问控制列表——控制列表(策略列表),是一个控制工具。
功能:!、定义感兴趣路由(控制层面)。2、定义感兴趣流量(数据层面)。
例如:
假设在该网络中运行了某一协议,如RIP。
2与3都能学习到1上面的3个路由,1.1.1.0/24,1.1.2.0/24,1.1.3.0/24信息。但想要3不学到1.1.2.0/24的路由,把某些路由过滤掉,这种就是控制层面的策略过滤。控制层面就是路由学习,路由传递的过程,这时就可以用到ACL。
PCA能与1.1.1.0,1.1.2.0,1.1.3.0正常通信。要求禁止PCA与1.1.1.0通信,网络中的路由该学习学习不做处理,这时我们要把PCA访问1.1.1.0这一网段的所有流量抓取出来做一个过滤,这也要通过ACL进行控制,但这时控制的是数据层面的信息,是PCA访问1.1.1.0的具体流量,ICMP等。
ACL:
1、自上而下匹配,一经匹配,立即执行。
2、ACL列表的调用分为in(先匹配ACL再查看路由)和out(先查看路由再匹配ACL)。
3、必须满足金字塔型结构。
4、ACL分为标准ACL和扩展ACL。
5、在思科中末尾隐含拒绝所有,在华为中若没有匹配到ACL则执行默认处理。
例子:
若在3上做了几条ACL条目,过来一个数据在ACL条目上没有匹配上拒绝或允许,思科中将过滤,华为则该转发转发,当没有这个ACL则该执行执行,该拒绝拒绝。
ACL的基本配置请查看:ACL的基本配置-CSDN博客
扩展:
NAT:网络地址转换。
功能:
1、将大量的私有地址转换为公有地址(节约IP地址)。
2、将一个IP地址转换为另一个IP地址(公有的),增加内部网络设备的安全性。
缺陷:
1、及其消耗网络设备资源。
2、破坏了数据的端到端传输(导致有些安全技术无法有效实施)。
NAT分为三种NAT;
1、静态NAT:一对一转换。一个私有IP对应一个公有IP。
2、动态NAT:多对多转换。多个私有IP对应多个公有IP。
3、easy IP NAT(NAPT就是端口NAT):多对一转换。
定义私有范围(与动态ACL一致使用ACL)
NAT使用原理如下图所示:
如果一个服务没有TCP、UDP:其数据包【IP|ICMP】=>中ICMP必须有一个字段留下来写一个数字进行NAT的多对多映射。
NAT配置请查看:NAT基本配置-CSDN博客
