ACL与NAT

随笔1个月前发布 心若有晴
30 0 0

ACL与NAT

ACL

acl是由一系列permit或deny语句组成的,有序规律的列表

acl是一个匹配工具,能够对报文进行匹配和区分

ACL应用

应用在接口的ACL—–过滤数据包(原目ip地址,原目 mac, 端口 五元组)

应用在路由协议——-匹配相应的路由条目

NAT、IPSEC VPN、QOS—–匹配感兴趣的数据流(匹配上我设置的 数据流的)

ACL 工作原理

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

ACL种类

编号2000-2999—基本ACL—-依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)

编号3000-3999—高级ACL—-依据数据包当中源、目的IP,源、目的端口、协议号匹配数据

编号4000-4999—二层ACL,MAC、VLAN-id、802.1q

ACL(访问控制列表)的应用原则

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

一个接口的同一个方向,只能调用一个acl
一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
数据包一旦被某rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)

ACL与NAT

 

ACL与NAT

 

NAT

网络地址翻译(natwork address translation)——让内网可以访问外网

一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。

实际场景问题如下图:

 

NAT工作机制

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址

当内网的数据包经过路由器,nat会将源地址转换成公网地址

当公网的数据包经过路由器,nat会将目的地址转换成内网地址

静态nat:公网地址和私网地址一一对应

动态nat:地址池

natpt:需要有一个固定的公网地址

2. NATPT(端口映射)

NAT Server—-内网服务器对外提供服务,针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

3.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...