ACL和NAT

文章目录

    • ACL和NAT
      • 一、ACL概述及产生背景
        • 1、ACL访问控制列表
        • 2、ACL工作原理
        • 3、ACL种类
        • 4、ACL命令配置步骤
          • 4.1 ACL命令配置
          • 4.1 ACL配置步骤
      • 二、NAT(网络地址转换)
        • 1、NAT概述
        • 2、NAT类型
          • 2.1 静态NAT与动态NAT
        • 3、NATPT(端口映射)
        • 4、Easy-IP

ACL和NAT

一、ACL概述及产生背景

1、ACL访问控制列表
  • 过滤流量,然后匹配规则后,判断该流量通过或拒绝
  • NAT匹配感兴趣流量(允许(permint )/拒绝(deny)192.168.1.0)
2、ACL工作原理
  • 当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理
3、ACL种类
  • 基本acl范围:acl 2000-2999,依据数据包当中的源目ip地址匹配数据

  • 高级acl范围:acl 3000-3999,依据数据包当中源、母的ip,源、目的端口、协议号匹配数据

注:基础acl设置在离目的地址近的地方

​ 高级acl设置在离源地址近的地方

4、ACL命令配置步骤
  • 子网掩码:1代表网络位,0代表主机位 配置ip地址的时候使用。连续1代表网络位

  • 反掩码:0代表网络位,1代表主机位 路由协议(ospf协议,)。连续0代表网络位

  • 通配符掩码:可以0与1穿插,0不可变,1可变(24位固定不变,后8位0-255)0.0.0.255

通配符掩码

image-20231215165821070

4.1 ACL命令配置
基本acl:

acl 2000: 基本acl列表

rule deny source 192.168.1.0 0.0.0.255: (默认编号5)拒绝来自192.168.1.0网段的流量

traffic-filter outbound acl 2000: 数据流向

rule deny tcp source 192.168.1.0 0 destination 192.168.2.1 0 destination-port eq www: 拒绝192.168.1.0网段去访问192.168.2.1的TCP访问80端口(www web服务)

注:在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
4.1 ACL配置步骤

设置Server拒绝Client1与Client2的访问

  • 创建配置

image-20231215135033453

  • 配置相关ip地址

image-20231215135431078

image-20231215170130255

  • ip地址配置完成后,不同网段实现互通

image-20231215141148345

  • 配置路由器

image-20231215165731717

  • 配置完成后,Client1访问不了Server1,但依然可以访问Server2

image-20231215142208698

image-20231215142253627

二、NAT(网络地址转换)

1、NAT概述
  • NAT(network address translation)网络地址转换技术主要用于实现位于内部网络的主机访问外部网络的功能

  • NAT技术:从私网到外网,将源私网地址改成源公网地址;从外网到私网,将目的公网地址改成目的私网地址。

2、NAT类型
2.1 静态NAT与动态NAT

静态NAT

  • 一个私网IP地址对应一个公网IP地址

①、静态NAT命令配置

intg0/0/1: 进入接口模式

nat static enable: 开启静态NAT模式

nat static global 200.1.1.100 inside 192.168.1.1: 将源私网ip地址192.168.1.1改成源公网ip地址200.1.1.100

注:在企业出口路由器上的 g0/0/1 口配置

②、静态NAT配置步骤

  • 创建配置,完成相关ip地址的配置

image-20231215153910010

  • 在企业出口路由器上的g0/0/1接口配置

image-20231215153746902

  • PC1与运营商设备ping通,通信成功

image-20231215160858839

  • PC2与运营商设备ping不通,网络不通(没有给PC2的地址进行nat转换,所以PC2是ping不通的)

image-20231215161003328

动态nat

  • 多个私网 IP 地址对应多个公网 IP地址
  • 动态NAT 基于地址池来实现私有地址和公有地址的转换
  • 动态NAT地址池中的地址用尽以后,只能等待被占用的公网地址被释放后,其他主机才能使用它来访问公网

①、动态NAT命令配置

nat address-group 1 200.1.1.10 200.1.1.20: 建立地址池

acl number 2000: 配置acl

rule permit source 192.168.1.0 0.0.0.255: 给需要地址转换的网段添加规则

nat outbound 2000 address-group 1: 添加规则

display nat sessionall: 查看nat配置

企业出口路由器需要配置默认路由

②、动态NAT配置步骤

  • 创建配置,完成相关ip地址的配置

image-20231215165228006

  • 在企业出口路由器配置

image-20231215163207986

  • PC1和PC2都与运营商设备ping通,通信成功

image-20231215163558110

image-20231215163534796

3、NATPT(端口映射)
  • 可以让用户访问内网服务器

NAT Server:内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

用户访问200.0.0.1:80等于访问192.168.1.1

NATPT命令配置

int g0/0/1: 进入接口模式

ip add 200.1.1.1 24: 配置ip地址

nat server protocol tcp global current-interface www inside 192.168.1.100 www: 访问200.0.0.1:80等于访问192.168.1.100:80
4、Easy-IP
  • 多个私网地址对应外网口公网 IP地址
  • 允许将多个内部地址映射到网关出接口地址上的不同端口
  • 适用于小规模局域网中的主机访问Internet 的场景

Easy-IP命令配置

int g0/0/1: 进入接口模式

rule permit source 192.168.1.0 0.0.0.255: 添加规则,允许192.168.1.0网段通过

nat outbound 2000: 添加规则

display nat session all: 查看nat配置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/247275.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

成都工业学院Web技术基础(WEB)实验二:HTML5表格、表单标签的使用

写在前面 1、基于2022级计算机大类实验指导书 2、代码仅提供参考,前端变化比较大,按照要求,只能做到像,不能做到一模一样 3、图片和文字仅为示例,需要自行替换 4、如果代码不满足你的要求,请寻求其他的…

Arduino使用定时器设置周期时间运行程序

1、用Arduino millis() 函数 实现一定程度上的多任务系统,可以设置不同时间的任务周期去执行对应的程序。比如需要10毫秒执行一次的程序、100毫秒执行一次的程序、1秒执行一次的程序。 2、Delay(ms)是延时函数,使用该延时函数,后面的程序将会…

租一台服务器多少钱决定服务器的价格因素有哪些

租一台服务器多少钱决定服务器的价格因素有哪些 大家好我是艾西,服务器这个名词对于不从业网络行业的人们看说肯定还是比较陌生的。在21世纪这个时代发展迅速的年代服务器在现实生活中是不可缺少的一环,平时大家上网浏览自己想要查询的信息等都是需要服…

统信UOS上图形化配置系统和应用代理

原文链接:统信UOS上图形化配置系统和应用代理 hello,大家好啊,今天我要给大家介绍的是在统信UOS操作系统上如何通过图形化界面配置系统代理和应用代理。在许多公司的内网环境中,直接访问互联网可能受到限制,但通常会提…

关于linux 磁盘占用排查问题

1.关于磁盘 查看整体磁盘占用大小 df -h 2. 先排除mysql 数据大小 查询库的大小 SELECT table_schema AS "Database", ROUND(SUM(data_length index_length) / 1024 / 1024, 2) AS "Size (MB)" FROM information_schema.TABLES GROUP BY table_schema…

ACL与NAT

目录 一、ACL (一)ACL基本理论 (二)ACL的类型 1.基本ACL 2.高级ACL 3.二层ACL (三)基本原理 (四)项目实验 通配符掩码 二、NAT (一)基本理论 &am…

【XR806开发板试用】+Linux小白上手开发笔记(2)——阿里云云方案

##0、前言 在之前文章中提到,在windows中搭建unbuntu对于新手小白来说非常不友好。因此一直在找解决方案,找到一条非常有意思的方案。希望对大家有点帮助。 1、环境搭建 方案核心————阿里云云 具体步骤如下: step1:注册。由…

【Python可视化系列】一文教会你绘制美观的柱状图(理论+源码)

一、前言 前面我详细介绍了如何绘制漂亮的折线图: 【Python可视化系列】一文彻底教会你绘制美观的折线图(理论源码) 本篇文章将教你绘制美观的柱状图。柱状图(Bar Chart)是一种常用的统计图表,用于展示不同…

Nginx 代理 MySQL 连接,并限制可访问IP

1.前言 我们的生产环境基本上都部署在云服务器上,例如应用服务器、MySQL服务器等。如果MySQL服务器直接暴露在公网,就会存在很大的风险,为了保证数据安全,MySQL服务器的端口是不对外开放的。 好巧不巧,线上业务遇到b…

自动化测试(一)配置selenium环境(带图文,防止踩坑)

目录 配置selenium环境 1. 安装setuptools 2. 安装selenium 3. 安装驱动 如何查看谷歌浏览器版本 上一章讲述了如何安装python环境,那么,这一章讲述的是,如何配置自动化测试(selenium)环境~吧🤷‍♀️…

设计模式详解---抽象工厂模式

继续前言,工厂模式中抽象工厂模式的讲解: 1. 前面的工厂模式有啥问题? 前面的工厂模式有这么个问题:一个产品就给了一个工厂,这样子如果产品变多,系统就会很复杂: 2. 解决方法 我们可以按照手…

前端js实现将异步封装成promise然后用async await转同步

(一)需求背景: 哈喽 大家好啊,今天遇到一个问题,需要将异步请求转换成同步 (二)相关代码: function getInfo() {return new Promise((resolve,reject)> {setTimeout(()> {re…

vue_域名部署无法访问后端

前言 目前部署的比较另类,因为服务器为windows,目前还不是很会nginx,所以现在就只能在服务器上安装nodejs,然后直接使用npm run dev命令行的方式运行项目 遇到的坑 使用ip访问前端的时候,就可以访问,但是…

排序之归并排序

归并排序是第一个可以被实际使用的排序算法。归并排序性能不错,其复杂度为O(nlogn)。 归并排序是一种分治算法。其思想是将原始数组切分成较小的数组,直到每个小数组只有一 个位置,接着将小数组归并成较大的数组,直到最后只有一个…

获取Java类路径

利用System.getProperty(“java.class.path”)可以获取Java类路径(Java class path)。 package com.thb;import java.io.IOException;public class Test5 {public static void main(String[] args) throws IOException {System.out.println(System.getP…

pycharm在终端处删除连接过的服务器

目录 操作 操作 打开设置处的SSH配置进行删除

宝塔面板快速搭建本地网站结合内网穿透实现远程访问【无需公网IP】

文章目录 前言1. 环境安装2. 安装cpolar内网穿透3. 内网穿透4. 固定http地址5. 配置二级子域名6. 创建一个测试页面 前言 宝塔面板作为简单好用的服务器运维管理面板,它支持Linux/Windows系统,我们可用它来一键配置LAMP/LNMP环境、网站、数据库、FTP等&…

Python+Yolov8+onnx-deepsort方法物体人流量识别统计

程序示例精选 PythonYolov8onnx-deepsort方法物体人流量识别统计 如需安装运行环境或远程调试,见文章底部个人QQ名片,由专业技术人员远程协助! 前言 这篇博客针对《PythonYolov8onnx-deepsort方法物体人流量识别统计》编写代码,…

【采坑分享】npm login/publish/whoami失败采坑,解决npmERR426、ETIMEDOUT、ECONNREFUSED等错误

目录 前言背景: 采坑之路: 1.修改https为http,问题还在 2.修改为淘宝镜像,问题还在 3.修改为官网地址,问题还在 4.升级node和npm,问题还在 5.猜想网络问题,问题解决 采坑总结&#xff1a…