目录
一、ACL
1、ACL的概述
2、ACL的分类
3、ACL的应用
4、ACL的组成和基本原理
编辑
5、ACL的配置
5.1配置基本ACL
5.2配置高级ACL
二、NAT
1、NAT的概述
2、NAT的分类
3、NAT的工作原理
4、静态NAT的配置
5、动态NAT的配置
6、NAPT(端口映射)的配置
7、Easy IP的配置
一、ACL
1、ACL的概述
ACL(Access Control List)访问控制列表是一种网络安全机制,用于过滤和控制网络中的数据流量。它可以根据源IP地址、目的IP地址、端口号、协议类型等信息,来允许或拒绝数据包的传输。
- ACL是由一系列permit或deny语句组成的、有序规则的列表。
- ACL是一个匹配工具,能够对报文进行匹配和区分。
2、ACL的分类
- 基本ACL:编号2000~2999,仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则
- 高级ACL:编号3000~3999,可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则
- 二层ACL:编号4000~4999,使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等
- 用户自定义ACL:编号5000~5999,使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则
- 用户ACL:编号6000~6999,既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
3、ACL的应用
①匹配IP流量
②在Traffic-filter中被调用
③在NAT(Network Address Translation)中被调用
④在路由策略中被调用
⑤在防火墙的策略部署中被调用
⑥在QoS中被调用
⑦其他……
4、ACL的组成和基本原理
ACL由若干条permit或deny语句组成,是一组规则的集合。
①每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作:
- permit(允许):数据包过滤,允许那些流量通过
- deny (拒绝):数据包过滤,拒绝那些流量通过
②ACL应用在路由器的某个接口上,ACL有两个方向:
- inbound入口方向--------当接口收到数据包时执行ACL
- outbound出口方向-------当设备从特定接口向外发送数据时执行ACL
基本ACL的配置格式:
注:
①rule是规则关键字,数字1是规则编号,这个编号在配置的时根据需要添加,但是一条规则就是一个编号,编号不能重复。默认编号为5,从第一条规则开始,后面每增加一条规则,编号就会加5,即每增加一个编号,编号就会在上一条规则编号的基础上加5。
之所以留出编号的间隔,是为了能够适应各种应用场景,方便在规则之间,插入新的规则。ACL在进行匹配的时候,是根据编号的顺序,从小到大一条条往下进行的,一旦由匹配到的规则,则不会继续向下匹配,如果匹配到最后都没有,则命中默认规则,默认是deny所有
规则编号的默认步长可以修改,修改了步长以后,所有的规则根据新的步长重新自动排号,为新步长的整倍数,顺序不会改变
②利用ip地址+通配符来匹配流量(通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插)
如:
5、ACL的配置
5.1配置基本ACL
建立基本ACL表2000,server1拒绝来自Client1(192.168.11.10)的访问流量,允许来自Client2(192.168.11.11的访问流量
5.1.1新建拓扑图
5.1.2配置Client1和Client2同一网段的IP地址、网关和子网掩码,配置Server1和Server2不同网段的IP地址、网关和子网掩码
如:
5.1.3配置路由器的各个端口ip地址和子网掩码,然后用Client1和2去ping任意服务器,通则正确
5.1.4用Client1和Client2去ping任意Server,都能ping通,则说明上述步骤正确,都能互相通信
如:
5.1.5配置普通ACL,建立规则,并作用在路由器的g1端口
5.1.6此时,client1再访问server1就会失败,但client2访问server1仍然能成功。
5.2配置高级ACL
配置高级acl表3000,Client1(192.168.11.10)被拒绝访问Server1(192.168.12.12)的tcp/80,但被允许访问Server1(192.168.12.12)的ftp/21
5.2.1先删除基本ACL,再配置高级acl表3000,加入Client1(192.168.11.10)被拒绝访问Server1(192.168.12.12)的tcp80端口的命令
5.2.2验证
client1访问servser1的tcp/80失败,但client2访问servser1的tcp/80成功
client1访问servser1的ftp/21成功,client2访问servser1的ftp/21成功
二、NAT
1、NAT的概述
NAT(Network Address Translation)网络地址转换是一种将私有IP地址转换为公有IP地址的技术,以实现多个设备共享一个公网IP地址,并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。
2、NAT的分类
静态NAT:
- NAT表条目是通过手动配置的方式添加进去的
- 私有IP地址和公有IP地址是一对一的关系,不节省公网IP地址
动态NAT:
- NAT表中的条目是路由器发送数据包时自动形成的
- 基于NAT地址池实现私有地址和公有地址之间的转换,比静态NAT更加节省公网IP
NAPT:
- 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口
Easy IP:
- Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口
3、NAT的工作原理
NAT是网络地址转换技术:
- 从私网——>外网,将源私网地址改成源公网地址
- 从外网——>私网,将目的公网地址改目的私网地址
4、静态NAT的配置
4.1建立拓扑图
4.2配置PC1和PC2的ip地址、网关和子网掩码
4.3配置企业路由器两个端口的ip地址和子网掩码,并在出口g1开启nat服务并配置
4.4配置运营商端口的ip地址和子网掩码
4.5PC1的ip地址去ping运营商的ip地址
4.6抓包验证
5、动态NAT的配置
动态NAT基于地址池来实现私有地址和公有地址的转换
5.1建立地址池200.2.2.10~200.2.2.15,新建acl基础表2000,允许192.168.1.0网段IP通过
5.2启用acl表2000规则,按照地址池进行NAT地址转换,不携带端口号
5.3PC1访问运营商,再查看NAT(网络地址转换)会话表项
6、NAPT(端口映射)的配置
6.1添加企业内网服务器和普通用户客户端,连接它们对应的接口,最后开启这些设备
6.2配置运营商接口g2的IP地址、子网掩码,配置普通用户和企业内网服务器的IP地址、网关和子网掩码
6.3企业出口g1配置默认路由
配置静态路由的通用格式:ip route-static 目的网段 子网掩码 下一跳地址
6.4通过访问当前接口指定IP地址的http服务对应内网:192.168.11.100
6.5测试普通用户端是否能访问企业公网tcp/80
注:路由器不会提供七层服务只能提供三层服务,用户访问公网IP200.2.2.1,实际访问的是内网服务器192.168.11.100
7、Easy IP的配置
使用一个公网地址使所有设备都能访问外网(每台设备通过端口号区分)
7.1拓扑图如上
7.2建立acl表2000规则,并在企业出口端口g1上启用
7.3内网设备访问外网,再查看NAT(网络地址转换)会话表项 ,可查看到对应的端口号