当前位置: 首页 > news >正文

计算机网络—ACL技术和NAT转换

news 2024/10/22 9:46:29

1.0 ACL概述

ACL(Acess Control List)的全称是访问控制列表,是由一系列permit和deny语句组成的(每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作),有序规则的列表,它是一个匹配工具,能够对报文进行匹配和区分,一般在路由器以及交换机的接口上面设置

1.1规则编号

ACL的匹配规则为由上而下依次匹配,一旦匹配成功立即停止,因此一个ACL中的每一条规则都有一个相应的编号,而系统自动为ACL规则分配编号时,每个相邻的两个编号之间的差值会被设定为5,这个差值被称为步长(步长为5,首规则编号为5,下一个编号必须是当前ACL内最大规则编号且是步长整数倍的最小整数),以便用户做后续修改。

1.2通配符掩码

通配符掩码是一个32比特位长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,通常用“0”和“1”穿插表示,“0”表示“匹配”,“1”表示“随机分配”,例如单个地址192.168.1.1,其所有比特位皆不可变,所以其通配符为0.0.0.0;单个网段192.168.1.0/24,其网络段比特位不可变,主机位比特位可变,因此其通配符为0.0.0.255。

上图中,同一个网段中所有奇数和偶数都可以用0.0.0.254表示,因为其IP地址32比特位网络位和主机位的最后一位都是固定的(0或1)。

1.3ACL的分类和标识

1.3.1基本/高级ACL创建案例(在路由器各端口设置)

基础ACL规则创建

创建命令及顺序(路由器内)命令作用
acl 2000(2000-2999)创建一个编号为2000或者(2000-2999)的ACL表
rule 5(不设立默认为5) deny/permit source 192.168.1.1 0(通配符0.0.0.0)创建规则编号为5内容为拒绝或同意192.168.1.1源IP地址发送的数据包经过的规则
int g0/0/1 进入g0/0/1端口
traffic-filter outbound/inbound(接口发送数据包执行ac/接口收到数据包时执行acl) acl 2000在该接口下调用设立的ACL表


<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/1]int g0/0/1
[R1-GigabitEthernet0/0/1]undo ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

高级ACL规则创建

创建命令及顺序(路由器内)命令作用
acl 3000(3000-2999)创建一个编号为3000或者(3000-3999)的ACL表
rule 5(不设立默认为5) tcp deny/permit source 192.168.1.1 0(通配符0.0.0.0) destination 192.168.2.1 0 destination-port gt/lt/eq www/80创建规则编号为5内容为拒绝或者同意协议为tcp源IP地址为192.168.1.1目的地址为192.168.2.1目的端口为80的数据包经过的规则
int g0/0/1 进入g0/0/1端口
traffic-filter outbound/inbound(接口发送数据包执行acl/接口收到数据包时执行acl) acl 3000在该接口下调用设立的ACL表

<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R2-GigabitEthernet0/0/2]q
[R2]acl 3000
[R2-acl-adv-3000]rule 5 tcp deny source 192.168.1.1 0 destination 192.168.2.1 0 dest
ination-port eq www(80)

2.0 NAT技术概述

NAT(Nation Adress translation)的全称是网络地址转换技术,对IP数据报文中IP地址进行转换,一般部署在网络出口设备上,一般是路由器或者防火墙,一方面可以缓解IPV4地址短缺的问题,一方面可以让外网设备无法直接与内网设备进行通信,提高了内网的安全性。

2.1静态NAT的定义及创建

每一个私有地址都有一个与之对应并且固定的公有地址,且私有地址与公有地址的关系为一对一映射,支持双向互访,缺点是会需要大量的公网IP地址,一般不会使用。

<Huawei>u t m 
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int e0/0/0
[R1-Ethernet0/0/0]ip add 192.168.1.254 24
[R1-Ethernet0/0/0]int e0/0/1
[R1-Ethernet0/0/1]ip add 200.0.0.1 24
[R1-Ethernet0/0/1]nat static enable 
[R1-Ethernet0/0/1]nat static global 200.0.0.2 inside 192.168.1.1
[R1-Ethernet0/0/1]nat static global 200.0.0.3 inside 192.168.1.2

2.2动态NAT的定义及创建

由于静态NAT造成的映射是一对一的,所以在内网设备不访问外部网络时,公网IP地址依然会处于使用状态,为了避免此种情况造成资源浪费,动态NAT提出了地址池的概念,在内网设备访问外网时临时从地址池中分配一个公网IP地址给设备,并将此地址标志为“in use”,在设备不再访问网络时将地址标志位“not use”。

  命令(按顺序)作用
nat adress-group 1 200.0.0.2   200.0.0.5创建一个200.0.0.2到200.0.0.5的地址池
acl number 2000创建编号为2000的ACL列表

rule permit source 192.168.1.0 0.0.0.255 

创建规则允许192.168.1.0网段的IP地址发送的数据包通过(进行地址转换)
int e0/0/1进入e0/0/1接口
nat static enable配置静态映射/启动静态nat
nat 2000 outbound adress-group 1 no-pat为编号为2000的NAT规则配置一个出站NAT策略,该策略将引用地址组1中的IP地址,并且在进行NAT转换时,只转换源IP地址,而不转换端口号和传输层协议

2.3NAPT与easy-ip

动态NAT地址池中的地址在进行地址转换时只会转换IP地址,不会转换端口与协议,即no-pat(非端口地址转换),公有地址和私有地址还是1对1的映射关系,无法提高公有地址的利用率。

NAPT(Network Adress and Port Translation),地址池中的地址在进行IP地址转换时也会转换端口,可以实现公网地址与私网地址的1对n映射,可以有效提高公网地址的利用率。

Easy-IP:原理与NAPT相同,区别在于没有地址池的概念,直接使用接口地址作为NAT转换的公网地址。

acl 2000
rule permit source 192.168.1.0 0 
int g0/0/1
nat 2000 outbound

2.4NAT-Server使用场景

指定公网地址端口与内网地址端口的一对一映射关系,将内网服务器映射到外网中,在内网服务器需要对公网提供服务时使用。

nat server protocol tcp global current-interface 80 inside 192.168.1.1 80


http://www.mrgr.cn/news/54994.html

相关文章:

  • leetcode22.括号生成
  • 第十四届单片机嵌入式蓝桥杯
  • 【OpenAI】第二节(Token)什么是Token?如何计算ChatGPT的Token?
  • Java网络编程 - headers
  • 【Ubuntu18.04命令行code打不开】可能的解决方法
  • 【RoadRunner】自动驾驶模拟3D场景构建 | 自定义交叉口工具详解
  • Java Exercise
  • 如何进行变基并更新拉取请求
  • 【文献及模型、制图分享】长江中游经济区“水—能源—粮食”系统与城市绿色转型适配性研究
  • 6.2 URDF集成Rviz基本流程
  • 前言——25机械考研复试专业面试问题汇总 机械复试超全流程攻略 机械复试看这一个专栏就够用了!机械复试调剂英语自我介绍口语专业面试常见问题总结 机械保研面试
  • Linux客户端/服务端安全攻防
  • 【Java SE 】继承 与 多态 详解
  • 1. DLT645协议解析
  • 看电视直播神器,家中老人乐开怀
  • 新程序员必备的5个VS Code插件
  • IO进程---day5
  • React04 - react ajax、axios、路由和antd UI
  • 深度学习 之 模型部署 使用Flask和PyTorch构建图像分类Web服务
  • DreamFace 4.7.1 | 图片说话,数字人
  • 计算机网络408真题解析(湖科大教书匠)
  • STM32调试,发现HAL_Init();之后无法调试,甚至无法让程序停下来
  • 详解equals底层原理
  • 滑动窗口,水果成篮 , 找到字符串中所有字母异位词 ,串联所有单词的子串
  • 练习题 - Scrapy爬虫框架 Selectors 数据选择器
  • 权限管理系统的详细解析与实现