ACL与NAT

目录

一、ACL

(一)ACL基本理论

(二)ACL的类型

1.基本ACL

2.高级ACL

3.二层ACL

(三)基本原理

(四)项目实验

通配符掩码

二、NAT

(一)基本理论

(二)工作原理

(三)静态NAT与动态NAT

1.静态NAT

2.动态NAT

3.NATPT(端口映射)

4.Easy-IP


一、ACL

(一)ACL基本理论

ACL(Access Control List)访问控制列表是一种网络安全机制,用于过滤和控制网络中的数据流量。它可以根据源IP地址、目的IP地址、端口号、协议类型等信息,来允许或拒绝数据包的传输。普通ACL

(二)ACL的类型

1.基本ACL

ACL 2000-2999  只能限制源IP地址

2.高级ACL

ACL 3000-3999   依据数据包当中的源、目IP地址和源、目的端口、协议,匹配数据 

3.二层ACL

ACL4000-4999    MAC、VLAN-ID、802.1q

(三)基本原理

1.规则定义

在创建ACL时,需要定义一系列的规则,每个规则都包含一个匹配条件和一个操作。

2.匹配条件

匹配条件可以是源IP地址、目的IP地址、源端口号、目的端口号、协议类型等信息。

3.操作

操作可以是允许(permit)或者拒绝(deny)。如果数据包与某个规则的匹配条件相符,那么就会执行该规则所指定的操作。

4.顺序执行

ACL中的规则是按照一定的顺序执行的。当数据包进入网络时,会依次检查每个规则,直到找到第一个匹配的规则为止。

5.应用范围

ACL可以应用于路由器、交换机、防火墙等设备,以及操作系统和应用程序中。

6.灵活配置

ACL支持灵活的配置方式,可以根据不同的需求来定义各种复杂的规则。

7.安全保护

通过使用ACL,可以有效地防止非法访问、攻击和病毒传播,提高网络的安全性

(四)项目实验

配置完相关地址后,在没有任何操作的情况下,都是可以联通的

下面开始制定ACL规则,使client1不能访问server1,可以访问server2

配置路由器

<Huawei>u t m 
Info: Current terminal monitor is off.
#关闭提示信息
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#进入系统模式
[Huawei]sys R2
#更改名字
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 192.168.3.254 24#配置IP地址[R2-GigabitEthernet0/0/2]q
[R2]acl 2000	#基本acl 列表    
[R2-acl-basic-2000]rule (规则编号) deny source 192.168.1.1 0#拒绝该地址访问  规则编号可加可不加,不加默认为5,规则执行由上到下,如果想先执行其它规则,再此编辑规则时在该位置添加1-4的编号[R2-acl-basic-2000]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#数据流向    把该规则作用在靠近目标地址的出口

通配符掩码

  • 0:表示这个位置上的IP地址位必须严格匹配。
  • 1:表示这个位置上的IP地址位可以任意取值。

例如,一个常见的通配符地址是 0.0.0.255,它对应的子网掩码是 255.255.255.0。这意味着:

  • IP地址的前三个字节(八位)是固定不变的。
  • 第四个字节(八位)的最后一位可以任意取值。

此时使用ping测试server1和2的联通性

高级ACL可以访问服务

在服务器里有http服务和ftp服务,随便选一个文件夹启动

client1用户现在是可以访问http服务和ftp服务的

现在设置client1用户无法访问http服务,这要使用到高级ACL


[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]undo traffic-filter outbound#删除普通acl配置[R2-GigabitEthernet0/0/1]acl 3000[R2-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 de
stination-port eq 80#这条命令的意思是:不让192.168.1.1 访问192。168.2.1 的tcp 80端口[R2-acl-adv-3000]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
将该规则配置在进口,防止数据在路由器打转浪费资源

再去访问的话就会显示连接失败

二、NAT

(一)基本理论

NAT(Network Address Translation)网络地址转换是一种将私有IP地址转换为公有IP地址的技术,以实现多个设备共享一个公网IP地址,并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。

(二)工作原理

NAT的工作原理如下:

1.内部网络

在内部网络中,设备使用的是私有IP地址,这些地址不会被路由到公共互联网上。

2.路由器上的NAT配置

路由器上需要启用NAT功能,并配置至少一个公网IP地址作为出口地址。

3.数据包发送

当内部网络中的设备向外部网络发送数据包时,路由器会将数据包的源IP地址和端口号替换为自己的公网IP地址和一个新的端口号。

4.建立映射表

路由器会创建一个映射表,记录下每个内部IP地址及其对应的公网IP地址和端口号。

5.响应数据包接收

当外部网络返回的数据包到达路由器时,路由器会根据映射表找到对应的内部IP地址,并将数据包转发给该设备

6.映射表维护

如果长时间没有数据包经过某个映射关系,路由器可能会删除这个映射,以释放资源。

(三)静态NAT与动态NAT

1.静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一 一对应

按图片信息将IP地址配置好

PC去ping 200.0.0.1是可以通的。200.0.0.2不能通

输入:nat static enable 开启静态NAT

  


输入:nat static global 200.0.0.10 inside 192.168.1.1

路由器收到来自私网地址192.168.1.1的数据包,自动将该地址转化为公网地址200.0.0.10

再去ping就可以联通了

如果想让PC也可以联通的话,需要一个新的公网地址做关联

2.动态NAT

首先undo掉之前的静态NAT

[QY]nat address-group 1 200.0.0.20 200.0.0.50#建立地址池[QY]acl 2000[QY-acl-basic-2000]rule permit source 192.168.1.0   0.0.0.255#允许这个网段的IP通过[QY-acl-basic-2000]q
[QY]int g0/0/1[QY-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat(不带端口号)#配置到outbound 

这个时候PC1和PC2都可以ping通了

输入display nat session all查看一下详细信息,从这里可以看出,将地址转成之前建立的地址池的范围内

3.NATPT(端口映射)

内网服务器对外提供服务,可以让用户访问内网服务器

将这三个地址配好

在企业出口做默认路由

ping 200.0.0.1测试一下

这个时候查看http服务显示失败,因为路由器不提供七层服务,通过将服务器与路由器做关联之后就可以访问成功了

[QY]int g0/0/01
[QY-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1ip address 200.0.0.1 255.255.255.0 nat outbound 2000 address-group 1 
#
return
[QY-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1#将这条静态nat取消掉[QY-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www in
side 192.168.1.100 www#current-interface:当前接口
global:公网
WWW :80
当前接口的公网地址 200.0.0.1 80 与192.168.1.100 80 做关联Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.Are you sure to continue?[Y/N]:y

4.Easy-IP

①使用列表匹配私网的ip地址

②将所有的私网地址映射成路由器当前接口的公网地址

[QY-GigabitEthernet0/0/1]undo nat server protocol tcp global current-interface w
ww inside 192.168.1.100 www
[QY-GigabitEthernet0/0/1]nat outbound 2000

现在这个网络环境里都可以联通了

查看一下信息可以发现,私网地址都换成了公网地址200.0.0.1 ,每个数据携带的端口号也不一样

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/218232.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PPT插件-好用的插件-PPT 素材该怎么积累-大珩助手

PPT 素材该怎么积累&#xff1f; 使用大珩助手中的素材库功能&#xff0c;将Word中的&#xff0c;或系统中的文本文件、图片、其他word文档、pdf&#xff0c;所有见到的好素材&#xff0c;一键收纳。 步骤&#xff1a;选中文件&#xff0c;按住鼠标左键拖到素材库界面中&…

使用React实现随机颜色选择器,JS如何生成随机颜色

背景 在标签功能中&#xff0c;由于有「背景色」属性&#xff0c;每次新增标签时都为选择哪种颜色犯难。因此&#xff0c;我们思考如何通过JS代码生成随机颜色&#xff0c;提取一个通用的随机颜色生成工具&#xff0c;并基于React框架封装随机颜色选择器组件。 实际效果 原理…

前端面试CSS知识点

目录 前言 一、块级元素、行内元素和行内块元素的区别 1. 块级元素-display:block 1.1.1 常见的块级元素 1.1.2 块级元素的特点 2. 行内元素-display-inline 2.1.1 常见的行内元素 2.1.2 行内元素的特点 3. 行内块元素-display:inline-block 3.1.1 常见的行内块元素 3.1.2 行内…

大数据讲课笔记1.2 Linux用户操作

文章目录 零、学习目标一、导入新课二、新课讲解&#xff08;一&#xff09;用户账号管理1、用户与用户组文件2、用户账号管理工作 &#xff08;二&#xff09;用户操作1、切换用户&#xff08;1&#xff09;语法格式&#xff08;2&#xff09;切换到普通用户&#xff08;3&…

什么是rocketmq❓

在大规模分布式系统中&#xff0c;各个服务之间的通信是至关重要的&#xff0c;而RocketMQ作为一款分布式消息中间件&#xff0c;为解决这一问题提供了强大的解决方案。本文将深入探讨RocketMQ的基本概念、用途&#xff0c;以及在实际分布式系统中的作用&#xff0c;并对Produc…

Kafka-客户端使用

理解Kafka正确使用方式 Kafka提供了两套客户端API&#xff0c;HighLevel API和LowLevel API。 HighLevel API封装了kafka的运行细节&#xff0c;使用起来比较简单&#xff0c;是企业开发过程中最常用的客户端API。 LowLevel API则需要客户端自己管理Kafka的运行细节&#xf…

车载以太网笔记

文章目录 以太网协议分层协议中间设备子网掩码物理层测试内容比较杂,后续会整理。 以太网协议分层 协议 中间设备

国产Apple Find My「查找」认证芯片-伦茨科技ST17H6x芯片

深圳市伦茨科技有限公司&#xff08;以下简称“伦茨科技”&#xff09;发布ST17H6x Soc平台。成为继Nordic之后全球第二家取得Apple Find My「查找」认证的芯片厂家&#xff0c;该平台提供可通过Apple Find My认证的Apple查找&#xff08;Find My&#xff09;功能集成解决方案。…

UG NX二次开发(C++)-库缺少需要的入口点的原因与解决方案

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 1、前言2、“库缺少需要的入口点”错误展示3、可能出现的原因与解决方案3.1 对于采用CTRL+U方式调用3.2 对于menu菜单下调用1、前言 在UG NX二次开发过程中,有时会遇到形形色色的bug,比如有个读…

C++使用回调函数的两种方式

一.函数指针 #include <iostream>typedef void (*callback)(int ,int); class MyTest { public:void setCallback(callback cb){m_callback = cb;}void add(int a, int b){m_callback(a, b);}private:callback m_callback; };void onCallback(int a, int b) {std::cout …

python每日学11:xpath的使用与调试

背景&#xff1a;最近在使用selenium 模拟浏览器作一些常规操作&#xff0c;在使用selenium的过程中接触到的一种定位方法&#xff0c;叫xpath, 这里说一下使用心得。 首先&#xff0c;我觉得如果只是简单使用的话是不用详细了解具体的语法规则的。 一、xpath怎么用&#xff1…

牛客网BC107矩阵转置

答案&#xff1a; #include <stdio.h> int main() {int n0, m0,i0,j0,a0,b0;int arr1[10][10]{0},arr2[10][10]{0}; //第一个数组用来储存原矩阵&#xff0c;第二个数组用来储存转置矩阵scanf("%d%d",&n,&m); if((n>1&&n<10)&&am…

Vue 组件传参 emit

emit 属性&#xff1a;用于创建自定义事件&#xff0c;接收子组件传递过来的数据。 注意&#xff1a;如果自定义事件的名称&#xff0c;和原生事件的名称一样&#xff0c;那么只会触发自定义事件。 setup 语法糖写法请见&#xff1a;《Vue3 子传父 组件传参 defineEmits》 语…

OxLint 发布了,Eslint 何去何从?

由于最近的rust在前端领域的崛起&#xff0c;基于rust的前端生态链遭到rust底层重构&#xff0c;最近又爆出OxLint&#xff0c;是一款基于Rust的linter工具Oxlint在国外前端圈引起热烈讨论&#xff0c;很多大佬给出了高度评价&#xff1b;你或许不知道OxLint&#xff0c;相比ES…

设计模式——建造者模式(创建型)

引言 生成器模式是一种创建型设计模式&#xff0c; 使你能够分步骤创建复杂对象。 该模式允许你使用相同的创建代码生成不同类型和形式的对象。 问题 假设有这样一个复杂对象&#xff0c; 在对其进行构造时需要对诸多成员变量和嵌套对象进行繁复的初始化工作。 这些初始化代码…

《人工智能导论》知识思维导图梳理【第7章节】

文章目录 说明专家系统机器学习机器学习定义工作流程模型评估机器学习分类在这里插入图片描述 机器学习部分md内容机器学习1 机器学习定义机器学习是从数据中自动分析获得模型&#xff0c;并利用模型对未知数据进行预测机器学习&#xff08;machine learning&#xff09;使计算…

【Python】Flask + MQTT 实现消息订阅发布

目录 Flask MQTT 实现消息订阅发布准备开始1.创建Flask项目2创建py文件&#xff1a;mqtt_demo.py3.代码实现4.项目运行 测试1、测试消息接收2、 测试消息发布 扩展 Flask MQTT 实现消息订阅发布 准备 本次项目主要使用到的库&#xff1a;flask_mqtt pip install flask_mqt…

uniGUI for Delphi UniSweetAlert控件详解

UniSweetAlert是UniGUI后期版本新增的一个界面友好的消息提示和输入控件&#xff0c;是ShowMessageN的升级版&#xff0c;UniSweetAlert增加了更多的可控制属性。 属性介绍 1、AlertType&#xff1a;提示类型&#xff0c;分为atError、atSuccess、atInfo、atQuestion、atWarni…

计算机网络快速刷题

自用//奈奎斯特定理和香农定理计算题 参考博客&#xff1a;UDP协议是什么&#xff1f;作用是什么&#xff1f; 肝了&#xff0c;整理了8张图详解ARP原理 【网络协议详解】——FTP系统协议&#xff08;学习笔记&#xff09; 在OSI参考模型中&am…

RS®SMM100A 矢量信号发生器具备毫米波测试功能的中档矢量信号发生器

R&SSMM100A 矢量信号发生器 具备毫米波测试功能的中档矢量信号发生器 R&SSMM100A 矢量信号发生器在 100 kHz 至 44 GHz 的频率范围内提供优越的射频特性。这款仪器覆盖现有无线标准所使用的 6 GHz 以下的频段、新定义的最高 7.125 GHz 的 5G NR FR1 和 Wi-Fi 6E 频段以…