ACL和NAT
一、ACL
1、技术背景
在工作中,需要一个工具实现流量过滤
2、概述
ACL(访问控制列表)
由一系列permit或deny语句组成的,有序规则的列表
ACL是一个匹配工具,能够对报文进行匹配和区分
3、两种应用及工作原理
①应用在接口——过滤数据包
②应用在路由协议——匹配相应的路由条目
工作原理:当数据包经过接口时,接口开启了ACL,会对报文进行检查,并做出相应的处理(接受或拒绝)
4、匹配机制
ACL规则自上而下依次匹配,一旦匹配成功后就不再向下匹配(配置ACL规则时小的范围最好放上面)
5、ACL的分类
基本ACL:2000~2999,只能根据数据包中的源IP,对数据包进行处理
高级ACL:3000~3999,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
6、ACL的数据流向
在接口下调用ACL分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
7、ACL实验
1、实验拓扑
2、实验目的
配置ACL之前,Client1 可以 ping 通 Server1 和 Server2 ;配置ACL后,Client1 不可以 ping 通Server1,可以ping通 Server2
3、实验步骤
①配置 Client1、 Client2、 Server1、 Server2
②配置AR1
<Huawei>u t m //关闭提示信息 Info: Current terminal monitor is off. <Huawei>sys //进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sys R1 //将交换机改名为R1 [R1]int g0/0/0 //进入g0/0/0口 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //设置g0/0/0口的IP地址为192.168.1.254 [R1-GigabitEthernet0/0/0]int g0/0/1 //进入g0/0/1口 [R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24 //设置g0/0/1口的IP地址为192.168.2.254 [R1-GigabitEthernet0/0/1]int g0/0/2 //进入g0/0/2口 [R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24 //设置g0/0/2口的IP地址为192.168.3.254 [R1-GigabitEthernet0/0/2]q //退出g0/0/2口 [R1]acl 2000 //配置基本ACL [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //编号5的规则拒绝192.168.1.1通过 [R1-acl-basic-2000]int g0/0/1 //进入g0/0/1口 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //配置ACL200在数据流向为出口的g0/0/1口
③验证实验
配置ACL之前Client1可以ping通Sever1,Client2可以ping通Server1
配置ACL后Client1不能ping通Sever1,可以ping通Sever2,Client2任然可以ping通Server1
8、ACL的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源(发送方)的地方(可以保护带宽和其他资源)
二、NAT
1、作用
NAT(网络地址翻译):可以将私网地址转为公网地址
2、分类
1、静态NAT
网络工程师需要手动将一个私有地址和一个公网地址进行关联,私有地址和公有地址一一对应,缺点和静态路由一样
实验拓扑
命令
配置好AR1 、AR2 的IP地址后 AR1配置 int g0/0/1 nat static enable //开启静态NAT nat static global 200.1.1.100 inside 192.168.1.1 //将 200.1.1.100 和 192.168.1.1 作对应关系 //不能直接使用接口地址200.1.1.1
2、动态NAT
特性:若公司购买了10个公网地址,在同一时间只有10台设备可以访问外网
实验拓扑
命令
nat address-group 1 200.1.1.10 200.1.1.15 //建立地址池 acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //给需要地址转换的网段添加规则 int g0/0/1 nat outbound 2000 address-group 1 no-pat //添加规则
3、NATPT(端口映射)
内网服务器的相应端口映射成路由器公网IP地址的相应端口
具备安全性
实验拓扑
配置好AR1 AR2端口地址后 AR1 ip route-static 0.0.0.0 0 200.1.1.2 //配置默认路由 nat server protocol tcp global current-interface 80 inside 192.168.1.100 8080 // 配置协议为TCP的公网地址端口号为80私网地址192.168.1.100的端口号为8080 nat static enable //启用NAT static
4、Easy-IP
使用ACL列表匹配私网的IP地址
只需要一个公网地址(所有私网地址转化为一个公网地址)
用端口号来区分不同的设备发出的数据
实验拓扑
命令
配置好AR1 AR2端口地址 配置好AR1的默认路由 [R1]acl 2000 [R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置ACL规则 [R1-acl-basic-2000]q [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]nat outbound 2000 //允许ACL2000通过
验证
