北京网站seo排名,监测网站定制,二次开发客户的话术,网站开发华企云商目录
一、ACL
#xff08;一#xff09;ACL基本理论
#xff08;二#xff09;ACL的类型
1.基本ACL
2.高级ACL
3.二层ACL
#xff08;三#xff09;基本原理
#xff08;四#xff09;项目实验
通配符掩码
二、NAT
#xff08;一#xff09;基本理论
一ACL基本理论
二ACL的类型
1.基本ACL
2.高级ACL
3.二层ACL
三基本原理
四项目实验
通配符掩码
二、NAT
一基本理论
二工作原理
三静态NAT与动态NAT
1.静态NAT
2.动态NAT
3.NATPT端口映射
4.Easy-IP 一、ACL
一ACL基本理论
ACLAccess Control List访问控制列表是一种网络安全机制用于过滤和控制网络中的数据流量。它可以根据源IP地址、目的IP地址、端口号、协议类型等信息来允许或拒绝数据包的传输。普通ACL
二ACL的类型
1.基本ACL
ACL 2000-2999 只能限制源IP地址
2.高级ACL
ACL 3000-3999 依据数据包当中的源、目IP地址和源、目的端口、协议匹配数据
3.二层ACL
ACL4000-4999 MAC、VLAN-ID、802.1q
三基本原理
1.规则定义
在创建ACL时需要定义一系列的规则每个规则都包含一个匹配条件和一个操作。
2.匹配条件
匹配条件可以是源IP地址、目的IP地址、源端口号、目的端口号、协议类型等信息。
3.操作
操作可以是允许permit或者拒绝deny。如果数据包与某个规则的匹配条件相符那么就会执行该规则所指定的操作。
4.顺序执行
ACL中的规则是按照一定的顺序执行的。当数据包进入网络时会依次检查每个规则直到找到第一个匹配的规则为止。
5.应用范围
ACL可以应用于路由器、交换机、防火墙等设备以及操作系统和应用程序中。
6.灵活配置
ACL支持灵活的配置方式可以根据不同的需求来定义各种复杂的规则。
7.安全保护
通过使用ACL可以有效地防止非法访问、攻击和病毒传播提高网络的安全性
四项目实验 配置完相关地址后在没有任何操作的情况下都是可以联通的 下面开始制定ACL规则使client1不能访问server1可以访问server2
配置路由器
Huaweiu t m
Info: Current terminal monitor is off.
#关闭提示信息
Huaweisys
Enter system view, return user view with CtrlZ.
#进入系统模式
[Huawei]sys R2
#更改名字
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 192.168.3.254 24#配置IP地址[R2-GigabitEthernet0/0/2]q
[R2]acl 2000 #基本acl 列表
[R2-acl-basic-2000]rule 规则编号 deny source 192.168.1.1 0#拒绝该地址访问 规则编号可加可不加不加默认为5规则执行由上到下如果想先执行其它规则再此编辑规则时在该位置添加1-4的编号[R2-acl-basic-2000]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#数据流向 把该规则作用在靠近目标地址的出口通配符掩码
0表示这个位置上的IP地址位必须严格匹配。1表示这个位置上的IP地址位可以任意取值。
例如一个常见的通配符地址是 0.0.0.255它对应的子网掩码是 255.255.255.0。这意味着
IP地址的前三个字节八位是固定不变的。第四个字节八位的最后一位可以任意取值。 此时使用ping测试server1和2的联通性 高级ACL可以访问服务
在服务器里有http服务和ftp服务随便选一个文件夹启动 client1用户现在是可以访问http服务和ftp服务的 现在设置client1用户无法访问http服务这要使用到高级ACL [R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]undo traffic-filter outbound#删除普通acl配置[R2-GigabitEthernet0/0/1]acl 3000[R2-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 de
stination-port eq 80#这条命令的意思是不让192.168.1.1 访问192。168.2.1 的tcp 80端口[R2-acl-adv-3000]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
将该规则配置在进口防止数据在路由器打转浪费资源再去访问的话就会显示连接失败 二、NAT
一基本理论
NATNetwork Address Translation网络地址转换是一种将私有IP地址转换为公有IP地址的技术以实现多个设备共享一个公网IP地址并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。
二工作原理
NAT的工作原理如下
1.内部网络
在内部网络中设备使用的是私有IP地址这些地址不会被路由到公共互联网上。
2.路由器上的NAT配置
路由器上需要启用NAT功能并配置至少一个公网IP地址作为出口地址。
3.数据包发送
当内部网络中的设备向外部网络发送数据包时路由器会将数据包的源IP地址和端口号替换为自己的公网IP地址和一个新的端口号。
4.建立映射表
路由器会创建一个映射表记录下每个内部IP地址及其对应的公网IP地址和端口号。
5.响应数据包接收
当外部网络返回的数据包到达路由器时路由器会根据映射表找到对应的内部IP地址并将数据包转发给该设备
6.映射表维护
如果长时间没有数据包经过某个映射关系路由器可能会删除这个映射以释放资源。
三静态NAT与动态NAT
1.静态NAT
工程手动将一个私有地址和一个公网地址进行关联一 一对应
按图片信息将IP地址配置好 PC去ping 200.0.0.1是可以通的。200.0.0.2不能通 输入nat static enable 开启静态NAT 输入nat static global 200.0.0.10 inside 192.168.1.1
路由器收到来自私网地址192.168.1.1的数据包自动将该地址转化为公网地址200.0.0.10 再去ping就可以联通了 如果想让PC也可以联通的话需要一个新的公网地址做关联
2.动态NAT
首先undo掉之前的静态NAT [QY]nat address-group 1 200.0.0.20 200.0.0.50#建立地址池[QY]acl 2000[QY-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255#允许这个网段的IP通过[QY-acl-basic-2000]q
[QY]int g0/0/1[QY-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat(不带端口号)#配置到outbound 这个时候PC1和PC2都可以ping通了 输入display nat session all查看一下详细信息从这里可以看出将地址转成之前建立的地址池的范围内 3.NATPT端口映射
内网服务器对外提供服务可以让用户访问内网服务器
将这三个地址配好 在企业出口做默认路由
ping 200.0.0.1测试一下 这个时候查看http服务显示失败因为路由器不提供七层服务通过将服务器与路由器做关联之后就可以访问成功了 [QY]int g0/0/01
[QY-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1ip address 200.0.0.1 255.255.255.0 nat outbound 2000 address-group 1
#
return
[QY-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1#将这条静态nat取消掉[QY-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www in
side 192.168.1.100 www#current-interface当前接口
global公网
WWW :80
当前接口的公网地址 200.0.0.1 80 与192.168.1.100 80 做关联Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.Are you sure to continue?[Y/N]:y 4.Easy-IP
①使用列表匹配私网的ip地址
②将所有的私网地址映射成路由器当前接口的公网地址
[QY-GigabitEthernet0/0/1]undo nat server protocol tcp global current-interface w ww inside 192.168.1.100 www [QY-GigabitEthernet0/0/1]nat outbound 2000
现在这个网络环境里都可以联通了 查看一下信息可以发现私网地址都换成了公网地址200.0.0.1 每个数据携带的端口号也不一样
