总结的总结
一、ACL----访问控制列表
1.ACL功能 访问控制 在设备上的流入或流出方向上,匹配流量,然后执行动作 允许/拒绝 抓取流量 ACL经常会跟其他协议共同使用,当与其他协议共同使用时,ACL一般仅作流量匹配,对 应动作又其他协议完成
2.ACL分类 基本ACL 只能基于IP报文的源IP地址、报文分片和时间段来定义规则 编号:2000-2999(规则编号:用于区分不同的规则列表) 高级ACL 基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口 号等信息来规定 编号:3000-3999
二、配置
1.创建ACL列表 [R2]acl 2000 //创建编号为2000的ACL列表
2.、设定规则 [R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //设定规 则,拒绝源IP为192.168.1.2的地址通过
.3、允许所有 [R2-acl-basic-2000]rule 10 permit source any //在最后允许所有 规则号:华为默认规定步长为5,方便后期维护时增加或删除规则。
4.、在接口调用ACL列表 [R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在该接 口出方向调用 每个接口仅能调用一张ACL列表。但一张表可以在多个接口被调用 方向:出方向、入方向;根据流量流动方向来判断,一个接口即可以是出接口也可以是入接 口。 [R2]display acl all [R2]display acl 2000
5.图中0.0.0.0该字符串,是通配符。0代表不可变,1代表可变位。
二、NAT
配置
[Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口 [Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside 192.168.2.1 //配置静态地址转换。此公有IP地址不能是本路由器上正在使用的公有 IP地址。
[Huawei]display nat static //查询静态NAT转换表
一、创建公有地址池塘 [Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址 组,组号为1,包括了2个IP地址,分别是10.1.1.10和10.1.1.11;必须是合法购买的公 网IP;公网IP必须连续
二、抓取流量--->匹配 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 三、将ACL与公有地址组绑定并调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group
三、NAPT
网络地址端口转换技术
目前互联网上使用最广泛的技术
解决了动态NAT需要排队的问题 维护了一张源端口号与私网地址的映射关系表
1-65535 EASY IP
2.配置 [Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口
[Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside 192.168.2.1 //配置静态地址转换。 [Huawei]display nat static //查询静态NAT转换表 一、创建公有地址池塘 [Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址 组,组号为1,包括了2个IP地址,分别是10.1.1.10和10.1.1.11;必须是合法购买的公 网IP;公网IP必须连续 二、抓取流量--->匹配 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 三、将ACL与公有地址组绑定并调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 nopat [Huawei]display nat address-group
一、抓流量 [Huawei]acl 2100 [Huawei-acl-basic-2100]rule permit source 192.168.2.0 0.0.0.255 二、接口调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2100 //easy ip规定,默认使 用该接口IP作为公有IP通讯 [Huawei]display nat outbound //查看NAT配置信息 多对多NAPT 端口映射 园区网组网 工程项目流程 1. 对接甲方 2. 设备安装 3. 设备上架 4. 连线 5. 配置 1. IP划分 2. 配置二层---交换 3. 配置三层---路由 4. 优化 一、创建公有IP组 [Huawei]nat address-group 2 10.1.1.10 10.1.1.20 二、抓取流量 [Huawei-acl-basic-2200]rule permit source 192.168.2.0 0.0.0.255 三、调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2200 address-group 2 [Huawei-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface telnet inside 192.1
更多推荐
总结的总结
发布评论