文章目录
- ACL和NAT
- 一、ACL概述及产生背景
- 1、ACL访问控制列表
- 2、ACL工作原理
- 3、ACL种类
- 4、ACL命令配置步骤
- 4.1 ACL命令配置
- 4.1 ACL配置步骤
- 二、NAT(网络地址转换)
- 1、NAT概述
- 2、NAT类型
- 2.1 静态NAT与动态NAT
- 3、NATPT(端口映射)
- 4、Easy-IP
ACL和NAT
一、ACL概述及产生背景
1、ACL访问控制列表
- 过滤流量,然后匹配规则后,判断该流量通过或拒绝
- NAT匹配感兴趣流量(允许(permint )/拒绝(deny)192.168.1.0)
2、ACL工作原理
- 当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理
3、ACL种类
-
基本acl范围:acl 2000-2999,依据数据包当中的源目ip地址匹配数据
-
高级acl范围:acl 3000-3999,依据数据包当中源、母的ip,源、目的端口、协议号匹配数据
注:基础acl设置在离目的地址近的地方
高级acl设置在离源地址近的地方
4、ACL命令配置步骤
-
子网掩码:1代表网络位,0代表主机位 配置ip地址的时候使用。连续1代表网络位
-
反掩码:0代表网络位,1代表主机位 路由协议(ospf协议,)。连续0代表网络位
-
通配符掩码:可以0与1穿插,0不可变,1可变(24位固定不变,后8位0-255)0.0.0.255
通配符掩码:
4.1 ACL命令配置
基本acl:
acl 2000: 基本acl列表
rule deny source 192.168.1.0 0.0.0.255: (默认编号5)拒绝来自192.168.1.0网段的流量
traffic-filter outbound acl 2000: 数据流向
rule deny tcp source 192.168.1.0 0 destination 192.168.2.1 0 destination-port eq www: 拒绝192.168.1.0网段去访问192.168.2.1的TCP访问80端口(www web服务)
注:在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
4.1 ACL配置步骤
设置Server拒绝Client1与Client2的访问
- 创建配置
- 配置相关ip地址
- ip地址配置完成后,不同网段实现互通
- 配置路由器
- 配置完成后,Client1访问不了Server1,但依然可以访问Server2
二、NAT(网络地址转换)
1、NAT概述
-
NAT(network address translation)网络地址转换技术主要用于实现位于内部网络的主机访问外部网络的功能
-
NAT技术:从私网到外网,将源私网地址改成源公网地址;从外网到私网,将目的公网地址改成目的私网地址。
2、NAT类型
2.1 静态NAT与动态NAT
静态NAT
- 一个私网IP地址对应一个公网IP地址
①、静态NAT命令配置
intg0/0/1: 进入接口模式
nat static enable: 开启静态NAT模式
nat static global 200.1.1.100 inside 192.168.1.1: 将源私网ip地址192.168.1.1改成源公网ip地址200.1.1.100
注:在企业出口路由器上的 g0/0/1 口配置
②、静态NAT配置步骤
- 创建配置,完成相关ip地址的配置
- 在企业出口路由器上的g0/0/1接口配置
- PC1与运营商设备ping通,通信成功
- PC2与运营商设备ping不通,网络不通(没有给PC2的地址进行nat转换,所以PC2是ping不通的)
动态nat
- 多个私网 IP 地址对应多个公网 IP地址
- 动态NAT 基于地址池来实现私有地址和公有地址的转换
- 动态NAT地址池中的地址用尽以后,只能等待被占用的公网地址被释放后,其他主机才能使用它来访问公网
①、动态NAT命令配置
nat address-group 1 200.1.1.10 200.1.1.20: 建立地址池
acl number 2000: 配置acl
rule permit source 192.168.1.0 0.0.0.255: 给需要地址转换的网段添加规则
nat outbound 2000 address-group 1: 添加规则
display nat sessionall: 查看nat配置
企业出口路由器需要配置默认路由
②、动态NAT配置步骤
- 创建配置,完成相关ip地址的配置
- 在企业出口路由器配置
- PC1和PC2都与运营商设备ping通,通信成功
3、NATPT(端口映射)
- 可以让用户访问内网服务器
NAT Server:内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
用户访问200.0.0.1:80等于访问192.168.1.1
NATPT命令配置
int g0/0/1: 进入接口模式
ip add 200.1.1.1 24: 配置ip地址
nat server protocol tcp global current-interface www inside 192.168.1.100 www: 访问200.0.0.1:80等于访问192.168.1.100:80
4、Easy-IP
- 多个私网地址对应外网口公网 IP地址
- 允许将多个内部地址映射到网关出接口地址上的不同端口
- 适用于小规模局域网中的主机访问Internet 的场景
Easy-IP命令配置
int g0/0/1: 进入接口模式
rule permit source 192.168.1.0 0.0.0.255: 添加规则,允许192.168.1.0网段通过
nat outbound 2000: 添加规则
display nat session all: 查看nat配置