目录
一、ACL
1.ACL
2.ACL的两种应用匹配机制
3.ACL的基本类型
4.ACL命令操作
5.ACL实验:
4.ACL的应用原则:
5.匹配原则:
二、NAT
1.NAT的原理及作用:
2.NAT分类
3.NAT配置
三、EASY-ip实验
四、NATPT
五、通配符
一、ACL
1.ACL
ACL:是访问控制列表。
作用:过滤流量,然后匹配规则是否允许通过(通过或者拒绝)。例如,在同一家公司内,boss电脑可以访问任何部门,而每个部门的人只能访问自己的部门,就要通过acl进行网络设置。
2.ACL的两种应用匹配机制
①应用在端口的ACL,用于过滤数据包。
②应用在路由协议,匹配对应的路由协议。
ACL匹配机制:规则自上而下依次匹配,一旦匹配就不再向下,例如第一条允许所有的1.1.1.0 24段通过,那么第二条拒绝1.1.1.2 32访问的规则就不会再生效。
3.ACL的基本类型
①基本acl:2000-2999,只能根据数据包中的源ip,对数据包进行处理。
②高级acl:3000-3999,可以根据数据包中的五元组(源IP地址,目的ip地址,源mac地址,目的mac地址,协议端口号)对数据包进行处理。
③二层acl:4000-4999,mac vlan-id
4.ACL命令操作
①ACL 2000 ## 创建基础ACL
②rule premit (deny)source 1.1.1.1 ## 添加规则,允许或者拒绝 源地址为1.1.1.1的地址
③int g0/0/1 ## 进入要配置的端口
④traffic-filter oubound(inbound) ACL 2000 ##在入口或者出口调用acl2000的规则。
5.ACL实验:
1.实验目的:
在同一局域网中,pc1不能访问server,而pc2可以访问server。
2.实验拓扑:
3.实验步骤:
①先配置pc1pc2的IP地址以及子网掩码和网关。如下图
②配置路由器接口并且检测pc1pc2是否可以访问server,如下图。
<huawei> undo terminal monitor #关闭用户视图提示
<huawei> system-view #进入系统视图
[huawei] undo infor-center enable #关闭系统视图提示
[huawei] int g0/0/0 #进入接口g/0/0/0
[huawei-g0/0/0] ip address 192.168.1.254 24 #为接口配置ip地址
[huawei-g0/0/0] int g0/0/1 #进入接口g0/0/1
[huawei-g0/0/1] ip address 192.168.3.254 24 #为接口配置ip地址
能ping通则说明pc1与pc2可以与server通信。
③然后在路由器上设置ACL2000,并在g0/0/1口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完成后PC1不能访问server,pc2可以正常访问服务器。如下图
[huawei]ACL 2000 ##创建基础级ACL 2000
[huawei]rule deny source 192.168.1.1 0 ##添加规则,拒绝源ip为192.168.1.1
[huawei]int g0/0/1 ##进入 g0/0/1接口
[huawei-g0/0/1] traffic-filter outbound acl 2000 ##为出端口配置ACL 2000规则
④拓展
高级ACL:acl3000
rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
(不让192.168.1.1 去访问192.168.2.1的tcp 80端口)
int g0/0/1
undo traffic-filter outbound
traffic-filter outbound acl 3000
4.ACL的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源(自己)的地方
5.匹配原则:
1.一个接口的同一个方向,只能调用一个acl
2.一个ACL里面可以有多个rule规则,按照规则id从小到大排序,从上往下依次执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有设备
二、NAT
1.NAT的原理及作用:
作用:通过网络地址转换,实现内网地址和公网地址的相互访问
原理:从内网出去时将内网源地址转换为公网ip地址,从公网回来时将目的公网地址改为目的私网地址。
2.NAT分类
①静态nat:私网地址和公网地址一对一映射,局限性就在于一个私网需要一个公网地址,需要的公网地址较多。
②动态nat:将公网ip划出一个公网ip地址池,当内网地址访问外网时将随机分配一个ip,访问完成后在收回公网ip。
3.NAT配置
3.1静态nat配置:
①进入企业出口路由器static nat enable 开启静态nat
②nat static global 1.1.1.1 inside 2.2.2.2将静态nat私网地址1.1.1.1对应公网地址2.2.2.2
3.2动态nat配置:
①nat address-group 1 200.1.1.10 200.1.1.15 建立动态nat地址池
②acl number 2000 创建acl2000
③rule 5 permit source 192.168.1.0 0.0.0.255 设定规则来自192.168.1.0网段的用户允许通过
④int g0/0/01 进入端口g0/0/1
⑤nat outbound 2000 address-group 1 on-pat 将规则添加在出口
三、EASY-ip实验
①实验目的
PC1PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1PC2通过出口路由器时转化为出口地址且端口号不一样来识别是谁发送的数据。
②实验拓扑
③实验步骤:
1.配置PC1PC2地址子网掩码和网关,如下图。
2.配置企业路由器和移动运营商路由器接口地址
AR1:
<Huawei>undo terminal monitor ##关闭用户视图提示
<Huawei>system-view ##进入系统视图
[Huawei]sysname AR1 ##修改路由器名称
[AR1]interface g0/0/0 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 ##接口配置ip地址
[AR1-GigabitEthernet0/0/0]interface g0/0/1 ## 进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]ip address 200.1.1.1 24 ##接口配置ip地址
AR2:
<Huawei>undo terminal monitor ##关闭用户视图提示
<Huawei>system-view ##进入系统视图
[Huawei]sysname AR2 ##修改路由器名称
[AR1]interface g0/0/0 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 200.1.1.254 24 ##接口配置ip地址
3.然后在企业路由器AR1上添加ACL规则并在出口上应用NAT,以此达到PC1PC2到达出口路由器地址nat成出口地址的目的访问外网。
[Huawei]ACL 2000 ##创建初级ACL 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##添加规则允许源地址为192.168.1.0的用户通过0.0.0.255为通配符掩码,可以暂时理解为反掩码用255.255.255.255减去子网掩码即可
[Huawei-acl-basic-2000]quit ##返回系统视图
[Huawei]int g0/0/1 ##进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 ##在此接口配置出口nat并调用acl 200规则
4.然后进入PC1PC2ping200.1.1.254来查看是否可以通过nat来访问外网。
5.通过wireshark抓包来查看pc1访问200.1.1.254的地址和端口号是否成出口地址200.1.1.1.
①在pc1上进行ping200.1.1.1254 -t
②然后再进入出口路由器使用命令等待查看端口是多少,命令为display nat session all ,可以查看 出源ip是多选,经过nat后的源IP是多少,以及此次连接的端口。端口号是此次PC1用于nat公网地址的标志,外网数据回包时出口路由器也是通过这个端口号判断数据要发给谁。
③右键出口路由器选择抓包,选择出口,本拓扑是g0/0/1。
④进入wireshark后点击一个包查看ICMP协议中的Identifier(LE)后面跟着的就是此次ip转换的内网端口号,由于长ping是一来一回则完成一次连接没有长时间建立连接所以随便点一个包查看是端口号可能不一样。此为实验环境测试导致,若是长时间访问一个网页不关闭则端口号会被长期占用,抓包时端口号就不会改变。
四、NATPT
端口号映射
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
程序代码:
配置好ip地址企业出口路由器需要配置默认路由在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
五、通配符
1.子网掩码 1 主机0 配置ip时使用 连续的1表示网络位
反子网掩码 0 主机1 路由协议 连续的0表示网络位
通配符可以10穿插,0可变,1不可变
2.通配符例题
答案AD
解析
172.16.1.1 0.0.0.0意思就是172.16.1.1一位都不可变,172.16.0.0 0.255.0.0就是第二位可变。苏所以选AD
3.EASY-IP使用一个公网地址,可以让所有人都上网,连端口号一起一同转发,便于回包。