网络基础(十二):ACL与NAT

目录

一、ACL

1、ACL的概述

2、ACL的分类

3、ACL的应用

4、ACL的组成和基本原理

​编辑

5、ACL的配置

5.1配置基本ACL

5.2配置高级ACL

二、NAT

1、NAT的概述

2、NAT的分类

3、NAT的工作原理

4、静态NAT的配置

5、动态NAT的配置

6、NAPT(端口映射)的配置

7、Easy IP的配置


一、ACL

1、ACL的概述

ACL(Access Control List)访问控制列表是一种网络安全机制,用于过滤和控制网络中的数据流量。它可以根据源IP地址、目的IP地址、端口号、协议类型等信息,来允许或拒绝数据包的传输。

  • ACL是由一系列permit或deny语句组成的、有序规则的列表。
  • ACL是一个匹配工具,能够对报文进行匹配和区分。

2、ACL的分类

  • 基本ACL:编号2000~2999,仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则
  • 高级ACL:编号3000~3999,可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则
  • 二层ACL:编号4000~4999,使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等
  • 用户自定义ACL:编号5000~5999,使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则
  • 用户ACL:编号6000~6999,既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则

3、ACL的应用

①匹配IP流量

②在Traffic-filter中被调用

③在NAT(Network Address Translation)中被调用

④在路由策略中被调用

⑤在防火墙的策略部署中被调用

⑥在QoS中被调用

⑦其他……

4、ACL的组成和基本原理

ACL由若干条permit或deny语句组成,是一组规则的集合。

①每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作:

  • permit(允许):数据包过滤,允许那些流量通过
  • deny (拒绝):数据包过滤,拒绝那些流量通过

②ACL应用在路由器的某个接口上,ACL有两个方向:

  • inbound入口方向--------当接口收到数据包时执行ACL
  • outbound出口方向-------当设备从特定接口向外发送数据时执行ACL

基本ACL的配置格式:

注:

①rule是规则关键字,数字1是规则编号,这个编号在配置的时根据需要添加,但是一条规则就是一个编号,编号不能重复。默认编号为5,从第一条规则开始,后面每增加一条规则,编号就会加5,即每增加一个编号,编号就会在上一条规则编号的基础上加5。

之所以留出编号的间隔,是为了能够适应各种应用场景,方便在规则之间,插入新的规则。ACL在进行匹配的时候,是根据编号的顺序,从小到大一条条往下进行的,一旦由匹配到的规则,则不会继续向下匹配,如果匹配到最后都没有,则命中默认规则,默认是deny所有

规则编号的默认步长可以修改,修改了步长以后,所有的规则根据新的步长重新自动排号,为新步长的整倍数,顺序不会改变

②利用ip地址+通配符来匹配流量(通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插)

如:

5、ACL的配置

5.1配置基本ACL

建立基本ACL表2000,server1拒绝来自Client1(192.168.11.10)的访问流量,允许来自Client2(192.168.11.11的访问流量

5.1.1新建拓扑图

5.1.2配置Client1和Client2同一网段的IP地址、网关和子网掩码,配置Server1和Server2不同网段的IP地址、网关和子网掩码

如:

5.1.3配置路由器的各个端口ip地址和子网掩码,然后用Client1和2去ping任意服务器,通则正确

5.1.4用Client1和Client2去ping任意Server,都能ping通,则说明上述步骤正确,都能互相通信

如:

5.1.5配置普通ACL,建立规则,并作用在路由器的g1端口

5.1.6此时,client1再访问server1就会失败,但client2访问server1仍然能成功。

5.2配置高级ACL

配置高级acl表3000,Client1(192.168.11.10)被拒绝访问Server1(192.168.12.12)的tcp/80,但被允许访问Server1(192.168.12.12)的ftp/21

5.2.1先删除基本ACL,再配置高级acl表3000,加入Client1(192.168.11.10)被拒绝访问Server1(192.168.12.12)的tcp80端口的命令

5.2.2验证

client1访问servser1的tcp/80失败,但client2访问servser1的tcp/80成功

client1访问servser1的ftp/21成功,client2访问servser1的ftp/21成功

二、NAT

1、NAT的概述

NAT(Network Address Translation)网络地址转换是一种将私有IP地址转换为公有IP地址的技术,以实现多个设备共享一个公网IP地址,并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。

2、NAT的分类

静态NAT:

  • NAT表条目是通过手动配置的方式添加进去的
  • 私有IP地址和公有IP地址是 1对1 的关系,不节省公网IP地址

动态NAT:

  • NAT表中的条目是路由器出炉数据包时自动形成的
  • 基于NAT地址池 实现私有地址和公有地址之间的转换,比静态NAT更加节省公网IP

NAPT:

  • 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口

Easy IP:

  • Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口 

3、NAT的工作原理

NAT是网络地址转换技术:

  • 从私网——>外网,将源私网地址改成源公网地址
  • 从外网——>私网,将目的公网地址改目的私网地址

4、静态NAT的配置

4.1建立拓扑图

4.2配置PC1和PC2的ip地址、网关和子网掩码

4.3配置企业路由器两个端口的ip地址和子网掩码,并在出口g1开启nat服务并配置

4.4配置运营商端口的ip地址和子网掩码

4.5PC1的ip地址去ping运营商的ip地址

4.6抓包验证

5、动态NAT的配置

动态NAT基于地址池来实现私有地址和公有地址的转换

5.1建立地址池200.2.2.10~200.2.2.15,新建acl基础表2000,允许192.168.1.0网段IP通过

5.2启用acl表2000规则,按照地址池进行NAT地址转换,不携带端口号

5.3PC1访问运营商,再查看NAT(网络地址转换)会话表项 

6、NAPT(端口映射)的配置

6.1添加企业内网服务器和普通用户客户端,连接它们对应的接口,最后开启这些设备

6.2配置运营商接口g2的IP地址、子网掩码,配置普通用户和企业内网服务器的IP地址、网关和子网掩码

6.3企业出口g1配置默认路由

配置静态路由的通用格式:ip route-static 目的网段 子网掩码 下一跳地址

6.4通过访问当前接口指定IP地址的http服务对应内网:192.168.11.100

6.5测试普通用户端是否能访问企业公网tcp/80

注:路由器不会提供七层服务只能提供三层服务,用户访问公网IP200.2.2.1,实际访问的是内网服务器192.168.11.100

7、Easy IP的配置

使用一个公网地址使所有设备都能访问外网(每台设备通过端口号区分) 

7.1拓扑图如上

7.2建立acl表2000规则,并在企业出口端口g1上启用

7.3内网设备访问外网,再查看NAT(网络地址转换)会话表项 ,可查看到对应的端口号

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/252494.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

自动驾驶技术:驶向未来的智能之路

导言 自动驾驶技术正引领着汽车产业向着更安全、高效、智能的未来演进。本文将深入研究自动驾驶技术的核心原理、关键技术、应用场景以及对交通、社会的深远影响。 1. 简介 自动驾驶技术是基于先进传感器、计算机视觉、机器学习等技术的创新,旨在实现汽车在不需要人…

论文降重系统同义词替换功能的改进方向 快码论文

大家好,今天来聊聊论文降重系统同义词替换功能的改进方向,希望能给大家提供一点参考。 以下是针对论文重复率高的情况,提供一些修改建议和技巧,可以借助此类工具: 标题:论文降重系统同义词替换功能的改进方…

java21特性学习

jdk21下载地址 JDK21文件 JDK21是javaSE平台最新的长期支持版本。 Java SE Java Archive | Oracle JDK21版本说明 JDK 21 Release Notes, Important Changes, and Information JavaSE 版本字符串格式 Version-String Format JavaSE平台采用了基于时间的发布模型,JDK每六个…

虚拟化之安全虚拟化

虚拟化首次引入是在Armv7-A架构中。那时,Hyp模式(在AArch32中相当于EL2)仅在非安全状态下可用。当Armv8.4-A引入时,添加了对安全状态下EL2的支持作为一个可选特性。 当处理器支持安全EL2时,需要使用SCR_EL3.EEL2位从E…

HarmonyOS:使用MindSpore Lite引擎进行模型推理

场景介绍 MindSpore Lite 是一款 AI 引擎,它提供了面向不同硬件设备 AI 模型推理的功能,目前已经在图像分类、目标识别、人脸识别、文字识别等应用中广泛使用。 本文介绍使用 MindSpore Lite 推理引擎进行模型推理的通用开发流程。 基本概念 在进行开…

【elementui笔记:el-table表格的输入校验】

之前做得比较多的校验是在el-form表单里做的,但有时也遇到,需要在table内输入数据,然后校验输入的数据是否符合要求的情况。因此记录一下。 思路: 1.需要借助el-form的校验,el-table外层嵌套一层el-form,使…

Java数组(1)

我是南城余!阿里云开发者平台专家博士证书获得者! 欢迎关注我的博客!一同成长! 一名从事运维开发的worker,记录分享学习。 专注于AI,运维开发,windows Linux 系统领域的分享! 本…

离线无网络环境下配置Python/Anaconda环境踩过的坑

一、前言 如果你同样需要在无网络环境下安装Python环境,这篇博客是一个很好的参考,由于内网没有网络,因此不能使用conda install/pip install等在线下载安装方式,经过个人尝试,推荐以下两种方法。 二、离线安装python…

2023年陕西省安全员C证证考试题库及陕西省安全员C证试题解析

题库来源:安全生产模拟考试一点通公众号小程序 2023年陕西省安全员C证证考试题库及陕西省安全员C证试题解析是安全生产模拟考试一点通结合(安监局)特种作业人员操作证考试大纲和(质检局)特种设备作业人员上岗证考试大…

MIT6.S081-实验准备

实验全程在Vmware虚拟机 (镜像:Ubuntu-20.04-beta-desktop-amd64) 中进行 一、版本控制 1.1 将mit的实验代码克隆到本地 git clone git://g.csail.mit.edu/xv6-labs-2020 1.2 修改本地git配置文件 创建github仓库,记录仓库地址 我的仓库地址就是htt…

基于AT89C51单片机的LED点阵显示屏设计

点击链接获取Keil源码与Project Backups仿真图: [[https://download.csdn.net/download/qq_64505944/88637464?spm1001.2014.3001.5503]] **[源码获取] B 源码仿真图课程设计50 工程实训(三)课题设计 班级: …

【面试】Java最新面试题资深开发-Java中的垃圾回收机制

问题七:Java中的垃圾回收机制 请简要解释Java中的垃圾回收机制是如何工作的,以及它的优缺点。如果可能,请提供一些垃圾回收器的例子,以及它们在不同场景中的适用性。 Java垃圾回收机制 工作原理: Java垃圾回收机制…

linux(centos7)离线安装mysql-5.7.35-1.el7.x86_64.rpm-bundle.tar

1. 卸载mariadb相关rpm # 查找 rpm -qa|grep mariadb rpm -qa|grep mysql# 卸载 rpm -e --nodeps mariadb... rpm -e --nodeps mysql...2. 删除mysql相关文件 # 查找 find / -name mysql# 删除 rm -rf /var/lib/mysql...3. 查看是否有相关依赖,没有需安装 rpm -q…

考虑用序列化代理代替序列化实例

import java.io.*;// 用户类 class User implements Serializable {private String username;private String password;private String email;public User(String username, String password, String email) {this.username username;this.password password;this.email ema…

CentOS 7 部署 Nacos-2.3.0 (单机版)

CentOS 7 部署 Nacos-2.3.0 (单机版) 1. 下载 Nacos 安装包 历史版本:https://github.com/alibaba/nacos/releases/ 我选的是 2.3.0 版本,https://github.com/alibaba/nacos/releases/download/2.3.0/nacos-server-2.3.0.tar.g…

从传统型数据库到非关系型数据库

一 什么是数据库 数据库顾名思义保存数据的仓库,其本质是一个具有数据存储功能的复杂系统软件,数据库最终把数据保存在计算机硬盘,但数据库并不是直接读写数据在硬盘,而是中间隔了一层操作系统,通过文件系统把数据保存…

2023年12月5日,北京elastic Meetup 腾讯分享的搜索优化经验

1、减少长文本模糊匹配,降低 CPU 大量分词上的开销 长文本全文查询由于在查询时需要进行分词处理,因此在查询并发较大的情况下, cpu会先于IO被打满,从而出现大量的查询拒绝。 2、设置多副本提高并发和均衡单节点压力 Search查询请…

机器学习 | 线性算法 —— 大禹治水

Machine-Learning: 《机器学习必修课:经典算法与Python实战》配套代码 - Gitee.com 如果说KNN算法体现了人们对空间距离的理解, 那么线性算法则体现了人们对事物趋势上的认识。 注意图中横纵坐标的不同。 线性回归、多项式回归多用于预测,逻辑…

基于linux系统的Tomcat+Mysql+Jdk环境搭建(四)linux安装Mysql

1.切换到你需要安装mysql的路径 cd /root/usr/ 2.在线安装 安装网上的安装方式都有很多,可以自己百度一下 我们这里是自己搭建测试环境,可以直接选择在线安装,命令如下:yum install mysql-server, 但是我失败了 ┭┮…

蜂鸣器的工作原理

电路原理图使用SH69P43为控制芯片,使用4MHz晶振作为主振荡器。 PORTC.3/T0作为I/O口通过三极管Q2来驱动蜂鸣器LS1,而PORTC.2/PWM0则作为PWM输出口通过三极管Q1来驱动蜂鸣器LS2。另外在PORTA.3和PORTA.2分别接了两个按键,一个是PWM按键&#x…