技术"/>
第十三集 ACL和NAT技术
●理解ACL的基本概念
●理解基本ACL及高级ACL的区别,识别应用场景
●掌握基本ACL及高级ACL的基础配置
●NAT的原理
●NAT的优缺点
●NAT的类型
● 实验
ACL的概述:
●访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、 有序规则的列表,它通过匹配报文的相关信息实现对报文的分类
●ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤), ACL只是- -个匹配用的工具
●ACL除了能够对报文进行匹配,还能够用于匹配路由
●ACL是一-个使用非常广泛的基础性工具,能够被各种应用或命令所调用
ACL过滤报文提高网络的安全性
ACL的应用:
●匹配P流量(可基于源、目IP地址、协议类型、端口号等元素)
●在Trafficfilter中被调用
●在NAT中被调用
在路由路由策略中被调用
在IPSec VPN中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他…
关于ACL的应用我们用于最为广泛的是前三个
ACL的种类:
Basic ACL(基础)原ip地址进行匹配 2000-2999
Advanced ACL(高级 )原IP目标ip源端口 ,目标端口,内容更加精准3000-3999
二 层 ACL 4000-4999
自定义 ACL 5000-5999( 官方)
ACL的匹配顺序
注:
5和10代表步长
permit 允许
deny否认
隐含的规则 就是放空所有 permit any
Wildcard(通配符):
网络掩码 | 通配符 |
---|---|
例如255.255.255.0 | 例如0.0.0.255 |
用于指示IP地址中,哪些比特是网络部分,哪些是主机部分。 | 用于指示IP地址中,哪些比特是网要严格匹配,哪些比特位则无所谓。 |
网络掩码中为1的比特表示网络部分 | 通配符中为1的比特表示无需匹配。 |
网络掩码中为0的比特表示主机部分。 | 通配符中为0的比特表示需严格匹配。 |
注:“1”表示无所谓 “0”表示需匹配
NAT的原理:
NAT ( Network Address Translator )的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。
NAT的优缺点
优点 | 缺点 |
---|---|
缓解公网地址紧缺问题 | 存在转发延迟 |
解决IP地址空间冲突或重叠的问题 | 端到端寻址变得困难 |
网络扩展性更高,本地控制也更容易 | 某些应用不支持NAT |
内网结构及相关操作对外变得不可见 | NAT产生的表项需占用设备的内存空间 |
增加了安全性 | 设备性能问题 |
NAT的类型:
【1】源IP地址转换( Source IP address-based NAT ) :
网络地址及端C转换( NAPT )
No-Port地址转换( No-PAT )
目的IP地址转换( Destination IP address-based NAT ) :
NAT Server
目的NAT
实验
ei]sysname sw1
[sw1]vlan b 10 20 100
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 20
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 10
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l t
[sw1-Ethernet0/0/3]p t a v a
[Huawei]sysname sw2
[sw2]vlan b 10 20 100
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]p l t
[sw2-GigabitEthernet0/0/1]p t a v a
[sw2-GigabitEthernet0/0/1]int vlanif 10
[sw2-Vlanif10]ip add 192.168.10.254 24
[sw2-Vlanif10]int vlanif 20
[sw2-Vlanif20]ip add 192.168.20.254 24
[sw2-Vlanif20]int g0/0/2
[sw2-GigabitEthernet0/0/2]p l a
[sw2-GigabitEthernet0/0/2]p d v 100
[sw2-GigabitEthernet0/0/2]int vlan 100
[sw2-Vlanif100]ip add 192.168.100.100 24
[sw2]ip route-static 10.0.0.0 24 192.168.100.200
[sw2]ip route-static 50.0.0.0 24 192.168.100.200
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.100.200 24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 10.0.0.1 24
[r1]ip route-static 192.168.10.0 24 192.168.100.100
[r1]ip route-static 50.0.0.0 24 10.0.0.2
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 50.0.0.0 0.0.0.255
[r1-acl-adv-3000]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 50.0.0.10 80 inside 192.168.20.1 80
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]q
[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 10.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 50.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.100.0 24 10.0.0.1
[r2]ip route-static 192.168.10.0 24 10.0.0.1
[r2]ip route-static 192.168.20.0 24 10.0.0.1
实验二
[Huawei]sysname sw1
[sw1]user-interface console 0
[sw1-ui-console0]idle-timeout 0 0
[sw1]vlan b 10 20
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 10
[sw1-Ethernet0/0/3]int e0/0/4
[sw1-Ethernet0/0/4]p l a
[sw1-Ethernet0/0/4]p d v 20
[sw1-Ethernet0/0/4]int e0/0/5
[sw1-Ethernet0/0/5]p l t
[sw1-Ethernet0/0/5]p t a v a
[sw1-Ethernet0/0/5]q
[Huawei]sysname r1
[r1]user-interface console 0
[r1-ui-console0]idle-timeout 0 0
[r1-ui-console0]q
[r1]int g0/0/0.1
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.254 24
[r1-GigabitEthernet0/0/0.1]a b e
[r1-GigabitEthernet0/0/0.1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.254 24
[r1-GigabitEthernet0/0/0.2]a b e
[r1-GigabitEthernet0/0/0.2]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 30.0.0.1 24
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 10.0.0.0 24 30.0.0.2
[r2]user-interface console 0
[r2-ui-console0]idle-timeout 0 0
[r2-ui-console0]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 30.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 10.0.0.254 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.10.0 24 30.0.0.1
[r2]ip route-static 192.168.20.0 24 30.0.0.1
更多推荐
第十三集 ACL和NAT技术
发布评论