ACL与NAT

2023年 7月 14日 22.4k 0

NAT技术需要依靠ACL所以在了解NAT之前我们需要简单了解ACL是什么

一、ACL

1.ACl的概念

ACL简单的说其实是一个实现流量过滤的工具,用于限制或允许特定用户、主机或网络对系统资源的访问

ACL代表访问控制列表(Access Control List),是网络和计算机系统中一种常用的安全机制。ACL用于
限制或允许特定用户、主机或网络对系统资源的访问。

ACL基本上是一系列规则或条目,用于控制数据包在网络中的流动。每个条目通常包含以下要素:

  • 源地址:指定要进行访问控制的源设备或网络的地址。
  • 目标地址:指定目标设备或网络的地址。
  • 协议:指定要控制的协议类型,如TCP、UDP或ICMP等。
  • 源端口:指定源设备或网络的端口号(适用于协议需要端口的情况)。
  • 目标端口:指定目标设备或网络的端口号(适用于协议需要端口的情况)。
  • 动作:指定针对匹配特定规则的数据包采取的操作,如允许、拒绝、丢弃、重定向等。

通过配置ACL规则,系统管理员可以根据需求对网络流量进行细粒度的限制和过滤。这些规则可以在路由器、交换机、防火墙等网络设备上应用,并允许或阻止特定流量的通过,从而维护网络的安全性和性能。

ACL广泛应用于网络安全和资源管理中,用于保护网络免受未经授权的访问、网络攻击和流量过载等威胁。它们也可以用于实现网络分段、流量路由和服务质量(QoS)等功能。

2.ACL 应用

ACL两种应用:

  • 应用在接口的ACL-----过滤数据包(原ip地址和目的ip地址,原mac和目的mac,协议/ 端口 这也是数据包组成的五大元素)
  • 应用在路由协议-------匹配相应的路由条目
  • NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流

PS:总体来说就是设置规则,只有符合规则的才可以匹配

3.ACL 工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

4.ACL种类

  • 编号2000-2999---基本ACL----依据依据数据包当中的源目IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q

5.ACL的命令代码

基础ACL命令
acl 2000         #新建表格
rule permit deny(拒绝) source(源) 匹配的条件(ip地址) 通配符掩码()
去路由器中调用
int  g0/0/1  #进入对应端口例如g0/0/1
traffic-filter outbound acl 2000  #调用ACL表,ACL 2000中的规则
高级ACL命令
更精细的控制匹配的条件
acl number 3000  
rule 5 deny tcp source 匹配的条件(ip地址)通配符掩码(用来控制匹配的范围)destination  匹配的条件(ip地址)通配符掩码(用来控制匹配的范围)destination-port  eq www(80)(目的地址的端口,这里那WWW做个例子)
 然后去路由器中调用
[R1]int g0/0/1   #进入对应端口例如g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000   #数据出去时调用ACL表,ACL 3000中的规则

6.ACL应用实验

实验结果要求:

客户机1(192.168.1.1)不能访问服务器1(192.168.2.1)

客户机2(192.168.2.1)全部可以访问

基础的ACL配置端口距离目标地址近

高级的ACL配置端口距离源地址近

6.1画出拓扑图,并根据图示配置好对应的ip地址

Snipaste_2023-07-12_11-12-52.png

客户机1

Snipaste_2023-07-12_11-13-27.png

客户机2

Snipaste_2023-07-12_11-13-37.png

服务器1

Snipaste_2023-07-12_11-13-48.png

服务器2

Snipaste_2023-07-12_11-13-58.png

6.2配置路由器R1端口的IP地址和基础ACL来达成实验要求

Snipaste_2023-07-12_11-29-34.png

6.3测试基础ACL是否配置成功且生效,达成实验要求

Snipaste_2023-07-12_11-31-03.png

Snipaste_2023-07-12_11-44-10.png

6.4清除基础ACL配置

Snipaste_2023-07-12_12-06-51.png

6.5在路由器R1中的端口配置高级ACL达成实验要求

Snipaste_2023-07-12_12-12-34.png

6.6测试高级ACL是否配置成功且生效,达成实验要求

客户机1(192.168.1.1)中

Snipaste_2023-07-12_12-18-20.png

Snipaste_2023-07-12_12-20-59.png

Snipaste_2023-07-12_12-30-43.png

客户机2(192.168.2.1)中

Snipaste_2023-07-12_12-26-36.png

Snipaste_2023-07-12_12-27-37.png

ACL应用实验成功

7.ACL总结

1.应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

2.匹配规则

  • 1、一个接口的同一个方向,只能调用一个acl
  • 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
  • 3、数据包一旦被某rule匹配,就不再继续向下匹配
  • 4、用来做数据包访问控制时,(华为设备中)默认是放过所有数据包的

二、NAT

1.NAT的概念

简单说NAT(网络地址转换)就是一个让私网可以上公网的网络协议和技术

NAT(网络地址转换)是一种网络协议和技术,用于在互联网协议(IP)网络中转换和映射IP地址。NAT主要用于在私有网络(如家庭网络或企业内部网络)与公共网络(如互联网)之间共享有限的公共IP地址。

NAT的基本原理是将私有IP地址转换为公共IP地址,以便内部设备可以与互联网上的其他设备进行通信。它通过在网络边界上的转换设备(例如路由器)来实现地址转换

2.NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),转换成公网地址

3.NAT的种类

  • 静态NAT
    • 将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
  • 动态NAT
    • 建立和维护一个地址表,该表存储了内部设备与相应的公共IP地址,允许内部网络中的多个设备共享一组公共IP地址
  • NATPT(端口映射)
    • NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射,即内网服务器的相应端口映射成路由器公网ip地址的相应端口
    • 即让外网可以访问内网
  • Easy-IP
    • 将私有网络中的IP地址和端口映射到公共网络中的公共IP地址和端口。通过这种方式,私有网络中的多个终端可以共享一个公共IP地址,从而实现了IP地址的节约和网络连接的共享
    • 1.出去的所有ip都是同一外网ip,但后面的端口号都不同(用于区分)
    • 1.使用列表匹配私网的ip地址
    • 2.将所有的私网地址映射成路由器当前接口的公网地址

4.NAT各种类实现命令拓扑实验

4.1.静态NAT

1.画出拓扑图并根据图示配置好PC机和端口的ip地址

Snipaste_2023-07-13_13-29-11.png

2.AR1中配置静态ANT绑定

静态.png

3.抓包检测和pc机器中检测是否生效

静态1.png

静态2.png

静态测试.png

4.2.动态NAT

1.画出拓扑图并根据图示配置好PC机

Snipaste_2023-07-13_13-29-11.png

2.配置端口的ip地址和动态NAT

动态nat1.png

3.测试动态NAT绑定

动态测试.png

4.3.NATPT(端口映射)

1.画出拓扑图并根据图示配置好PC机,服务器和客户机的IP地址

Snipaste_2023-07-13_13-37-42.png

2.开启服务器的http服务

NATPT1.png

3.配置路由器AR1,AR2
  • AR1

NATPT3.png

  • AR2

NATPT4.png

4.在服务器中测试NATPT配置是否生效

NATPT2.png

4.4.Esay-IP

1.画出拓扑图并根据图示配置好PC机,路由器端口,服务器和客户机的IP地址

Snipaste_2023-07-13_13-37-42.png

2.配合AR1并查询配置

easy-ip1.png

esay-ip2.png

3.测试Esay-IP配置是否生效

esay-ip.png

5.总结

1.NAT的作用

网络地址转换(Network Address Translation,NAT)是一种在计算机网络中常用的技术,它在网络设备(如路由器和防火墙)之间转换IP地址,实现不同网络间的通信。NAT的主要作用如下:

  • IP地址转换:NAT允许将内部网络(如家庭或企业局域网)使用的私有IP地址转换为公共IP地址,从而实现与公共互联网的连接。这样,一个公共IP地址就可以代表整个内部网络的所有设备。
  • 地址隐藏和安全性:通过使用私有IP地址,NAT可以在内部网络和外部网络之间建立一道“屏障”,隐藏内部网络的真实IP地址,增加了网络的安全性,减少了受到网络攻击的风险。
  • 节约公共IP地址:由于IPv4地址空间有限,NAT可以在一定程度上缓解公共IP地址的短缺问题。内部网络可以使用私有IP地址,只需要一个或几个公共IP地址来与外部网络通信。

2.数据包经过NAT设备从内网到外网和从外网到内网的转换过程

  • 从内网到外网:
    • 数据包的源IP由私网IP转换成公网iP
  • 从外网到内网
    • 数据包的目的IP由公网转换成私网IP

3.常用的两种NAT

  • NATPT(端口映射)
    • NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射,即内网服务器的相应端口映射成路由器公网ip地址的相应端口
    • 即让外网可以访问内网
  • Easy-IP
    • 将私有网络中的IP地址和端口映射到公共网络中的公共IP地址和端口。通过这种方式,私有网络中的多个终端可以共享一个公共IP地址,从而实现了IP地址的节约和网络连接的共享
    • 1.出去的所有ip都是同一外网ip,但后面的端口号都不同(用于区分)
    • 1.使用列表匹配私网的ip地址
    • 2.将所有的私网地址映射成路由器当前接口的公网地址

相关文章

JavaScript2024新功能:Object.groupBy、正则表达式v标志
PHP trim 函数对多字节字符的使用和限制
新函数 json_validate() 、randomizer 类扩展…20 个PHP 8.3 新特性全面解析
使用HTMX为WordPress增效:如何在不使用复杂框架的情况下增强平台功能
为React 19做准备:WordPress 6.6用户指南
如何删除WordPress中的所有评论

发布评论