ACL—访问控制列表,是一种策略控制工具
功能:1.定义感兴趣流量(数据层面 ) 2.定义感兴趣路由(控制层面)
ACL 条目表项组成:
编号规则:步数或者跳数默认值为5,可以调整。
动作:执行动作分为permit允许,deny拒绝。
匹配项:通过通配符进行控制
特性:
1.自上而下匹配,已经匹配,立即执行,满足金字塔型结构
2.ACL列表被接口调用,分为import和export,import先匹配ACL再查看路由,export 先执行路由在匹配ACL。
3.ACL条目,思科中末尾隐含拒绝所有,华为末尾不关注
ACL分类: 分为基本ACL和高级ACL
基本ACL:在匹配过程中仅仅关注源IP地址
高级ACL:在匹配过程中关注源IP、目标IP地址、协议
标记方式:编号方式和命名方式
编号方式:基本ACL2000-2999 高级ACL3000-3999
ACL 部署
基本ACL :
接口调用:
测试:
高级ACL:
接口调用:与基本ACL一致
测试…
NAT:网络地址转换
随着Internet的发展和网络应用的增多,有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题,NAT(Network Address Translation,网络地址转换)技术应需而生。
公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址。
私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的IP地址。
A、B、C类地址中各预留了一些地址专门作为私有IP地址:
A类:10.0.0.0 ~ 10.255.255.255
B类:172.16.0.0 ~ 172.31.255.255
C类:192.168.0.0 ~ 192.168.255.255
功能: 1.将大量的私有地址转换为公有地址(节约IP地址)
2.将一个IP地址转换为另一个IP地址(公有的)(增加内部网络设备 的安全性)
缺陷: 1.极其消耗网络设备资源 2.破坏了数据的端到端传输(导致有些安 全技术无法有效实施)
NAT 原理:
NAT部署:
1.静态NAT (一对一转换)
方法一:接口下直接启用NAT映射
测试:已经完成NAT,抓宝分析
方法二:全局定义静态NAT映射关系,接口启用静态NAT功能
全局定义NAT转换过程
接口启用静态NAT功能
查看:
2.动态NAT : 多对多的地址转换
静态NAT存在两个问题:1.静态NAT地址一对一转换并未节约IP地址(增加IP控制)2.某些私有IP地址并不一定是一直使用(未充分使用公有IP地址空间)
动态NAT 部署:
定义私有IP地址范围:
定义公有地址池范围:
接口配置动态NAT映射关系:
注意:参数no-pad ,默认是pad,使用端口映射,no-pat—非端口地址转换
测试:
3.NAPT:网络地址端口转换,在动态NAT的基础上,使用了pat(端口地址转换)的转换,可以使用大量私有IP地址映射少量公有IP地址,可以有效的提高公有地址利用率。
部署:与动态NAT一致,不选择no-pat参数。
测试:抓包分析
4.easy IP,与NAPT一致,区别点在于将公有地址定义为连接公网出接口IP地址。
部署:
定义私有IP地址范围:
接口启用:
5.NAT server:指定公有IP地址(端口)向私有IP地址(端口)的一对一映射关系
部署:
测试:
