ACT、NAT、NATPT和EASY-IP

目录

一、ACL

1.ACL

2.ACL的两种应用匹配机制

3.ACL的基本类型

4.ACL命令操作

5.ACL实验:

4.ACL的应用原则:

5.匹配原则:

二、NAT

1.NAT的原理及作用:

2.NAT分类

3.NAT配置

三、EASY-ip实验

四、NATPT

五、通配符


一、ACL

1.ACL

ACL:是访问控制列表。

作用:过滤流量,然后匹配规则是否允许通过(通过或者拒绝)。例如,在同一家公司内,boss电脑可以访问任何部门,而每个部门的人只能访问自己的部门,就要通过acl进行网络设置。

2.ACL的两种应用匹配机制

①应用在端口的ACL,用于过滤数据包。

②应用在路由协议,匹配对应的路由协议。

ACL匹配机制:规则自上而下依次匹配,一旦匹配就不再向下,例如第一条允许所有的1.1.1.0 24段通过,那么第二条拒绝1.1.1.2 32访问的规则就不会再生效。

3.ACL的基本类型

①基本acl:2000-2999,只能根据数据包中的源ip,对数据包进行处理。

②高级acl:3000-3999,可以根据数据包中的五元组(源IP地址,目的ip地址,源mac地址,目的mac地址,协议端口号)对数据包进行处理。

③二层acl:4000-4999,mac vlan-id

4.ACL命令操作

①ACL 2000  ## 创建基础ACL

②rule premit (deny)source   1.1.1.1  ## 添加规则,允许或者拒绝 源地址为1.1.1.1的地址

③int g0/0/1  ##   进入要配置的端口

④traffic-filter oubound(inbound) ACL 2000 ##在入口或者出口调用acl2000的规则。

5.ACL实验:

1.实验目的:

在同一局域网中,pc1不能访问server,而pc2可以访问server。

2.实验拓扑:

3.实验步骤:

①先配置pc1pc2的IP地址以及子网掩码和网关。如下图

②配置路由器接口并且检测pc1pc2是否可以访问server,如下图。

<huawei> undo terminal monitor               #关闭用户视图提示
<huawei> system-view                         #进入系统视图
[huawei] undo infor-center enable            #关闭系统视图提示
[huawei] int g0/0/0                          #进入接口g/0/0/0
[huawei-g0/0/0] ip address 192.168.1.254 24  #为接口配置ip地址
[huawei-g0/0/0] int g0/0/1                   #进入接口g0/0/1
[huawei-g0/0/1] ip address 192.168.3.254 24  #为接口配置ip地址

能ping通则说明pc1与pc2可以与server通信。

③然后在路由器上设置ACL2000,并在g0/0/1口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完成后PC1不能访问server,pc2可以正常访问服务器。如下图

[huawei]ACL 2000   ##创建基础级ACL 2000
[huawei]rule deny source 192.168.1.1 0 ##添加规则,拒绝源ip为192.168.1.1 
[huawei]int g0/0/1    ##进入 g0/0/1接口
[huawei-g0/0/1]  traffic-filter  outbound  acl 2000 ##为出端口配置ACL 2000规则

④拓展

高级ACL:acl3000

rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)

(不让192.168.1.1 去访问192.168.2.1的tcp 80端口)

int g0/0/1

undo traffic-filter outbound

traffic-filter outbound acl 3000

4.ACL的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源(自己)的地方

5.匹配原则:

1.一个接口的同一个方向,只能调用一个acl

2.一个ACL里面可以有多个rule规则,按照规则id从小到大排序,从上往下依次执行

3.数据包一旦被某rule匹配,就不再继续向下匹配

4.用来做数据包访问控制时,默认隐含放过所有设备

二、NAT

1.NAT的原理及作用:

作用:通过网络地址转换,实现内网地址和公网地址的相互访问

原理:从内网出去时将内网源地址转换为公网ip地址,从公网回来时将目的公网地址改为目的私网地址。

2.NAT分类

①静态nat:私网地址和公网地址一对一映射,局限性就在于一个私网需要一个公网地址,需要的公网地址较多。

②动态nat:将公网ip划出一个公网ip地址池,当内网地址访问外网时将随机分配一个ip,访问完成后在收回公网ip。

3.NAT配置

3.1静态nat配置:

①进入企业出口路由器static nat enable 开启静态nat

②nat static global 1.1.1.1 inside 2.2.2.2将静态nat私网地址1.1.1.1对应公网地址2.2.2.2

3.2动态nat配置:

①nat address-group 1 200.1.1.10 200.1.1.15   建立动态nat地址池

②acl number 2000   创建acl2000

③rule 5 permit source 192.168.1.0 0.0.0.255  设定规则来自192.168.1.0网段的用户允许通过

④int g0/0/01    进入端口g0/0/1

⑤nat outbound 2000 address-group 1 on-pat     将规则添加在出口

三、EASY-ip实验

①实验目的

PC1PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1PC2通过出口路由器时转化为出口地址且端口号不一样来识别是谁发送的数据。

②实验拓扑

③实验步骤:

1.配置PC1PC2地址子网掩码和网关,如下图。

2.配置企业路由器和移动运营商路由器接口地址

AR1:
<Huawei>undo terminal  monitor  ##关闭用户视图提示
<Huawei>system-view             ##进入系统视图
[Huawei]sysname AR1             ##修改路由器名称
[AR1]interface g0/0/0           ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24  ##接口配置ip地址
[AR1-GigabitEthernet0/0/0]interface g0/0/1           ##   进入g0/0/1接口  
[AR1-GigabitEthernet0/0/1]ip address 200.1.1.1  24   ##接口配置ip地址
AR2:
<Huawei>undo terminal  monitor  ##关闭用户视图提示
<Huawei>system-view             ##进入系统视图
[Huawei]sysname AR2            ##修改路由器名称
[AR1]interface g0/0/0           ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 200.1.1.254 24  ##接口配置ip地址

3.然后在企业路由器AR1上添加ACL规则并在出口上应用NAT,以此达到PC1PC2到达出口路由器地址nat成出口地址的目的访问外网。

[Huawei]ACL 2000  ##创建初级ACL 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##添加规则允许源地址为192.168.1.0的用户通过0.0.0.255为通配符掩码,可以暂时理解为反掩码用255.255.255.255减去子网掩码即可
[Huawei-acl-basic-2000]quit            ##返回系统视图
[Huawei]int g0/0/1                     ##进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000  ##在此接口配置出口nat并调用acl 200规则

4.然后进入PC1PC2ping200.1.1.254来查看是否可以通过nat来访问外网。

5.通过wireshark抓包来查看pc1访问200.1.1.254的地址和端口号是否成出口地址200.1.1.1.

①在pc1上进行ping200.1.1.1254 -t

②然后再进入出口路由器使用命令等待查看端口是多少,命令为display nat session all ,可以查看 出源ip是多选,经过nat后的源IP是多少,以及此次连接的端口。端口号是此次PC1用于nat公网地址的标志,外网数据回包时出口路由器也是通过这个端口号判断数据要发给谁。

③右键出口路由器选择抓包,选择出口,本拓扑是g0/0/1。

④进入wireshark后点击一个包查看ICMP协议中的Identifier(LE)后面跟着的就是此次ip转换的内网端口号,由于长ping是一来一回则完成一次连接没有长时间建立连接所以随便点一个包查看是端口号可能不一样。此为实验环境测试导致,若是长时间访问一个网页不关闭则端口号会被长期占用,抓包时端口号就不会改变。

四、NATPT

端口号映射

NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

程序代码:

配置好ip地址企业出口路由器需要配置默认路由在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable

五、通配符

1.子网掩码         1            主机0            配置ip时使用          连续的1表示网络位

反子网掩码              0            主机1               路由协议              连续的0表示网络位

通配符可以10穿插,0可变,1不可变

2.通配符例题

答案AD

解析

172.16.1.1 0.0.0.0意思就是172.16.1.1一位都不可变,172.16.0.0 0.255.0.0就是第二位可变。苏所以选AD

3.EASY-IP使用一个公网地址,可以让所有人都上网,连端口号一起一同转发,便于回包。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/218081.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

本地项目添加到gitlab命令操作

gitlab上面创建一个跟项目名同名的文件夹 创建文件夹&#xff0c;填写信息 添加readme文档&#xff0c;先保存下创建的文件夹 回到项目&#xff0c;复制项目的git 地址 然后进入到本地项目的文件夹&#xff0c;如d:/workspace/spring-demo&#xff0c;右键打开git bash弹框 命令…

浅入浅出理解MySQL和InnoDB

目录 数据库的定义 数据库和实例 MySQL 的架构 数据的存储 如何存储表 如何存储记录 数据页结构 索引 索引的数据结构 聚集索引和辅助索引 索引的设计 锁 并发控制机制 锁的种类 锁的粒度 锁的算法 死锁的发生 事务与隔离级别 几种隔离级别 脏读 不可重复读 幻读 总结 Innodb与…

对BIOS进行简单快速的设置更改,就能启用安全引导来安装Windows 11

本文介绍如何在UEFI/BIOS中启用安全引导&#xff0c;以便继续安装Windows 11。 如何启用安全引导 启用安全引导最简单的方法是通过UEFI/BIOS进行。它通常被列为BIOS中的众多选项之一&#xff0c;因此你只需打开它即可启用它。 1、启动&#xff0c;或重新启动你的电脑或笔记本…

【Android】在Android上使用mlKit构建人脸检测程序

在Android上构建人脸检测程序 目录 1、导入mlKit依赖包2、配置人脸检测器并且获取人脸检测器3、加载图片资源4、调用人脸检测器5、绘制矩形边框6、完整代码7、效果展示 1、导入mlKit依赖包 dependencies {// ...// Use this dependency to bundle the model with your appi…

【问题解决】Buildroot文件系统dropbear 上位机scp命令Permission denied, please try again.

前提&#xff1a; 上位机&#xff1a;Ubuntu虚拟机与开发板同局域网开发板&#xff1a;Buildroot文件系统&#xff0c;开启了dropbear&#xff0c;已经联网与虚拟机同局域网 liefyuanubuntu:~/tcp-test/tcp-c-client$ scp tcp_client root192.168.8.199:/opt root192.168.8.1…

构建强大应用的引擎:深度解析Spring Boot Starter机制

目录 引言1. Spring Boot Starter机制1.1 什么是Spring Boot Starter1.2 为什么要使用Spring Boot Starter1.3.应用场景1.4.自动加载核心注解说明 2. 综合案例配置类制作控制功能实现 总结 引言 在当今互联网时代&#xff0c;构建高性能、可维护的应用已成为开发者的首要任务。…

ISCTF(CRYPTO)

easy_rsa nc连接看看 脚本 import gmpy2import libnumfrom Crypto.Util.number import *from binascii import a2b_hex, b2a_hexflag "*****************"p 11920076502966619778438716819444048800827104655497817807132072529253600622832779629686654276924193…

PPT插件-好用的插件-放映笔、绘图板-大珩助手

放映笔 幻灯片放映时&#xff0c;工具在幻灯片的左下方&#xff0c;本工具在幻灯片的右侧&#xff0c;可以移动&#xff0c;可以方便在右侧讲课时候使用 绘图板 可在绘图板上写签名、绘制图画、写字等等&#xff0c;点画笔切换橡皮擦&#xff0c;点插入绘图&#xff0c;将背景…

基于PaddleNLP的深度学习对文本自动添加标点符号(一)

前言 目前以深度学习对文本自动添加标点符号研究很少&#xff0c;已知的开源项目并不多&#xff0c;详细的介绍就更少了&#xff0c;但对文本自动添加标点符号又在古文识别语音识别上有重大应用。 基于此&#xff0c;本文开始讲解基于PaddleNLP的深度学习对文本自动添加标点符号…

IDEA设置查看JDK源码

问题 我们在查看JDK源码时&#xff0c;可能会遇到这种情况&#xff0c;步入底层查看JDK源码时&#xff0c;出现一堆var变量&#xff0c;可读性非常之差&#xff0c;例如笔者最近想看到nio包下的SocketChannelImpl的write方法&#xff0c;结果看到这样一番景象&#xff1a; pu…

Lvs-NAT部署

目录 一.什么是lvs 二.集群的类型 三.lvs的三种模式 四.lvs调度算法 五.LVS-NAT模式部署 一.什么是lvs lvs负载均衡群集&#xff1a;由多台主机构成&#xff0c;对外表现为一个整体&#xff0c;只提供一个访问入口&#xff0c;相当于一个大计算机。 二.集群的类型 1&am…

可视化数据监控大屏网页界面,数据大屏模版PS资料(免费UI源文件)

数据大屏模板在大数据领域被广泛应用&#xff0c;其优势在于能够将复杂的数据通过图形、图表等方式呈现出来&#xff0c;使数据更易于理解。数据大屏模板可以用来进行数据分析。通过对数据的比较、趋势分析、异常检测等&#xff0c;可以发现数据中的规律和问题&#xff0c;为决…

网络协议 - DNS 相关详解

网络协议 - DNS 相关详解 DNS简介域名层级结构域名服务器 DNS 解析流程为什么DNS通常基于UDP DNS 查询dig 查询host查询nslookup查询whois查询在线工具查询 DNS 调度原理地理位置调度不准确规则变更生效时间不确定高可用 DNS 安全相关什么是DNS劫持什么是DNS污染为什么要DNS流量…

TCP/IP详解——UDP 协议

文章目录 1. UDP1.1 UDP 头部1.2 UDP 校验和1.3 UDP 传输过程1.4 UDP-Lite1.5 最大 UDP 数据报长度1.6 UDP 输入队列 1. UDP UDP&#xff1a;用户数据报协议&#xff08;User Datagram Protocol&#xff09;面向无连接的&#xff0c;也就是无需建立连接&#xff0c;传输不可靠。…

(十六)Flask之蓝图

蓝图 Flask蓝图&#xff08;Blueprint&#xff09;是Flask框架中用于组织和管理路由、视图函数以及静态文件的一种机制。它提供了一种将应用程序拆分为更小、可重用组件的方式&#xff0c;使得项目结构更清晰&#xff0c;代码更易于维护。 使用Flask蓝图&#xff0c;可以将相…

MongoDB mapReduce案例分析

文章目录 第1关&#xff1a;mongoDB的插入和查询第2关&#xff1a;MongoDB的删除操作 第1关&#xff1a;mongoDB的插入和查询 编程要求 根据提示&#xff0c;在右侧编辑器补充代码&#xff0c;根据提示。 测试说明 平台会对你编写的代码进行测试&#xff1a; 测试输入&#…

Win10的SVN Adapter V1.0 中黄色感叹号 -- 解决

大部分都问题都可以通过&#xff1a; 关闭 SVN Adapter V1.0 在下载最新的 SVNDrv.sys替换 C:\Windows\System32\drivers 中的同名文件启动 SVN Adapter V1.0 就能成功 但是部分人的电脑 SVN Adapter V1.0 是有感叹号的&#xff0c;说明注册表有问题 先用 CCleaner 修复注册表…

电脑自动关机怎么设置?

电脑自动关机怎么设置&#xff1f;如果你是一名上班族&#xff0c;工作忙起来很多事情都会忘记做&#xff0c;有时候忙到很晚后紧急下班&#xff0c;就会忘记给电脑关机&#xff0c;电脑如果经常不关机&#xff0c;那么电脑就会超负荷的运转&#xff0c;大家都知道电脑的寿命是…

Django 表单处理:从前端到后台的全流程指南

概要 Django作为一个高级Python Web框架&#xff0c;它的表单处理能力强大&#xff0c;可以有效地处理用户输入&#xff0c;进行数据验证以及错误处理。本文将详细介绍如何在Django中创建、处理和使用表单。 1. Django表单系统的核心 Django的表单系统处理表单的生命周期&…

数据结构(七):树介绍及面试常考算法

一、树介绍 1、定义 树形结构是一种层级式的数据结构&#xff0c;由顶点&#xff08;节点&#xff09;和连接它们的边组成。 树类似于图&#xff0c;但区分树和图的重要特征是树中不存在环路。树有以下特点&#xff1a; &#xff08;1&#xff09;每个节点有零个或多个子节点…