ACL和NAT

news2024/12/24 16:31:01

目录

一.ACL

1.概念

2.原理

3.应用

4.种类

5.通配符

1.命令

2.区别

3.例题

4.应用原则

6.实验

1.实验目的

2.实验拓扑

3.实验步骤

7.实验拓展

1.实验目的

2.实验步骤

3.测试

二.NAT

1.基本理论

2.作用

3.分类

静态nat

动态nat

NATPT NAT Sever

 Easy-IP

4.工作原理

1.内部网络

2.路由器上的NAT配置

3.数据包发送

4.建立映射表

5.响应数据包接收

6.映射表维护

5.实验

静态NAT

1.实验目的

2.实验拓扑

3.实验步骤

动态NAT

1.实验目的

2.实验步骤

建立地址池

设置基础ACL,并配置规则

进入接口,配置NAT

测试

​编辑端口映射

1.实验目的

2.实验拓扑

3.实验步骤

Easy IP

1.实验目的


一.ACL

1.概念

ACL:(Access Control List )访问控制列表

ACL是由一系列permit或deny语句组成的,有序规则的列表

ACL是一个匹配工具,能够对报文进行匹配和区分

2.原理

  • 过滤流量,然后匹配规则判断通过或拒绝
  • NAT匹配感兴趣的流量

3.应用

  • 匹配IP流量
  • 在Traffic-filter中被调用
  • 在NAT(Network Address Translation)中被调用
  • 在路由策略中被调用
  • 在防火墙的策略部署中被调用
  • 在QoS中被调用

4.种类

  • 基本ACL----编号2000-2999---依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 高级ACL----编号3000-3999---依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 二层ACL----编号4000-4999---MAC、VLAN-id、802.1q

5.通配符

1.命令

通配符掩码   rule deny source 192.168.1.0

2.区别​​​​​​​

子网掩码、反掩码和通配符掩码

子网掩码11110主机配置ip地址时候用连续的1来表示网络位
反掩码00001主机路由协议(ospf协议)连续0来表示网络位
通配符掩码可以01穿插主机0不可变1可变

3.例题

172.16.1.1  0.0.0.0    与   172.16.0.0  0.255.0.0  在路由器PTA上使用这两个ACL匹配路由条目,则下列哪些条目将会被匹配上?(多选)

A.172.16.1.1 / 32

B.172.16.1.0 / 24

C.192.17.0.0 / 24

D.172.18.0.0 / 16

解:172.16.1.1   0.0.0.0的通配符为0.0.0.0,代表172.16.1.1  所有该路由地址不可变,故选A;172.16.0.0  0.255.0.0的通配符为0.255.0.0,代表172.16.0.0的路由地址中的16可变,其他地址不可变,故选D。

10.1.11.0   0.0.254.255  会和以下哪些条目匹配上?

A. 10.1.1.4

B. 10.1.2.4

C. 10.1.5.4

D. 10.1.9.0

解:10.1.11.0  0.0.254.255的通配符为0.0.254.255,代表10.1.11.0的前两位固定10.1,无法排除错误答案;254.255其中254位的11代表其为基数可变位,255位代表随意可变位,故选答案ACD

4.应用原则

  • 基础ACL:尽量离目标点近
  • 高级ACL:尽量离出发点近

6.实验

1.实验目的

过滤掉一个数据流量,使得客户机不能访问系统端

2.实验拓扑

​​​​​​​

3.实验步骤

进入系统,修改名称

sys

sys R1

进入g0/0/0接口(int g0/0/0),配置IP地址作为网关(ip add 192.168.1.254 24

进入g0/0/1接口(int g0/0/1),配置IP地址作为网关(ip add 192.168.2.254 24

进入g0/0/2接口(int g0/0/2),配置IP地址作为网关(ip add 192.168.3.254 24

路由器R1中设置基础ACL 2000(acl 2000),为基础ACL2000设置过滤条件为192.168.1.1  0 (要对192.168.1.1  0 的地址进行拒绝处理)(rule deny source 192.168.1.1 0)<当前rule的编号被默认定为5>

在接口下调用ACL分为两个方向(inbound/outbound),使用(traffic-filter outbound acl 2000)控制数据向接口外发送数据时执行ACL 

测试

客户机Client1不可以正常访问Server1

客户机Client2可以正常访问Server1

客户机Client1可以正常访问客户机Client2

7.实验拓展

1.实验目的

使Client1不能访问服务器1的http(www)服务

2.实验步骤

承接上述实验继续进行操作,在路由器R1中设置高级ACL3000(acl 3000),为高级ACL3000设置规则为192.168.1.1  0 的出口地址可以访问192.168.2.1  0的出口地址 www (rule deny tcp source  192.168.1.1 0 destination 192.168.2.1  0  destination-port eq www)
路由器R1中进入g0/0/0接口(int g0/0/0),设置流量过滤,使192.168.1.1  0 不能去访问192.168.2.1 的tcp 80 端口(www.web 服务) (traffic-filter inbound acl 3000

3.测试

测试客户机Client1能否访问系统端Server1

二.NAT

1.基本理论

NAT(Network Address Translation)网络地址转换是一种将私有IP地址转换为公有IP地址的技术,以实现多个设备共享一个公网IP地址,并能够访问互联网。NAT通常用于企业、家庭等内部网络与外部网络之间的通信。​​​​​​​

从私网--->外网将源私网地址改为源公网地址

从外网--->内网将目的公网改为目的私网地址

2.作用

通过对网络地址转换,实现内网地址与公网地址的相互访问

3.分类

静态nat

一个私网地址对应一个公网地址

动态nat

会规定一个公网地址池,容量有限

NATPT NAT Sever

内网服务器对外提供服务,针对目的IP和目的端口映射

 Easy-IP

使用一个公网地址可以让所有人都可以上公网

一个公网地址最多可以让65536个人上网;企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由;NAT一般部署在连接内网和外网的网关设备上。

4.工作原理

1.内部网络

在内部网络中,设备使用的是私有IP地址,这些地址不会被路由到公共互联网上。

2.路由器上的NAT配置

路由器上需要启用NAT功能,并配置至少一个公网IP地址作为出口地址。

3.数据包发送

当内部网络中的设备向外部网络发送数据包时,路由器会将数据包的源IP地址和端口号替换为自己的公网IP地址和一个新的端口号。

4.建立映射表

路由器会创建一个映射表,记录下每个内部IP地址及其对应的公网IP地址和端口号。

5.响应数据包接收

当外部网络返回的数据包到达路由器时,路由器会根据映射表找到对应的内部IP地址,并将数据包转发给该设备

6.映射表维护

如果长时间没有数据包经过某个映射关系,路由器可能会删除这个映射,以释放资源。

5.实验

静态NAT

静态NAT实现了私有地址和公有地址的一对一映射;一个公网IP只会分配给唯一且固定的内网主机

1.实验目的

使企业内私网客户端可以访问公网地址

2.实验拓扑

3.实验步骤

修改名称

进入R1

sys

sys  QY

进入R2

sys

sys ISP

在企业出口路由器中进入g0/0/0接口(int g0/0/0),配置IP地址作为网关(ip add 192.168.1.254 24)

在企业出口路由器中进入g0/0/1接口(int g0/0/1),配置IP地址作为网关(ip add 200.0.0.1 24)

 在g0/0/1接口,配置NAT(nat static enable)

运营商设备中进入g0/0/0接口(int g0/0/0),配置IP地址作为网关(ip add 200.0.0.2 24

在企业出口路由器中的g0/0/1,配置NAT转换,将通过的私网地址192.168.1.1 转为 200.0.0.100(nat static global 200.0.0.100 inside 192.168.1.1),将通过的私网地址 192.168.1.2 转为 200.0.0.200(nat static global 200.0.0.200 inside 192.168.1.2)

测试

测试PC1、PC两个私网地址是否可以ping通运营商设备的公网地址

动态NAT

  • 动态NAT基于地址池来实现私有地址和公有地址的转换
  • 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口
1.实验目的

使企业内私网客户端可以访问公网地址

2.实验步骤

将静态NAT实验中配置好地址转换的命令取消

(undo nat static global 200.0.0.100 inside 192.168.1.1)

(undo nat static global 200.0.0.200 inside 192.168.1.2)

(undo nat static enable

建立地址池

企业出口路由器建立地址池组1私网可转公网范围为200.0.0.10 ~  200.0.0.50)(nat address-group 1 200.0.0.10  200.0.0.50

设置基础ACL,并配置规则

企业出口路由器设置基础ACLacl 2000),配置规则私网地址192.168.1.0段192.168.1.0   “0”可变  “192.168.1” 不可变(rule permit source 192.168.1.0 0.0.0.255)

进入接口,配置NAT

企业出口路由器中进入g0/0/1接口(int g0/0/1),配置NAT放行流量应用基础ACL地址组1nat outbound 2000 address-group 1

测试

测试PC1、PC两个私网地址是否可以ping通运营商设备的公网地址

端口映射

NATPT——NAT Sever  内网服务器对外提供服务,针对目的IP和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

1.实验目的

家庭客户机需要访问内网服务器

2.实验拓扑

3.实验步骤

运营商设备中进入g0/0/1接口(int g0/0/1),配置IP地址作为网关(ip add 202.0.0.254 24

进入接口配置NAT映射
在企业出口路由器中进入g0/0/1接口(int g0/0/1),删除动态NAT放行流量应用基础ACL地址组1(undo nat outbound 2000 address-group 1)配置NATPT映射(家庭客户机如果想访问服务器相当于访问企业出口路由器)(nat server protocol tcp global current-interface www inside 192.168.1.100 www)配置默认路由(ip route-static 0.0.0.0 0 200.0.0.2)

测试

Easy IP

  • Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口
  • 使用一个公网地址可以让所有人都可以上公网
  • 一个公网地址最多可以让65536个人
1.实验目的

允许内网客户机和家庭服务机互通

2.实验步骤

在企业出口路由器上删除NATPT映射(undo  nat server protocol tcp global current-interface 
www inside 192.168.1.100 www
)配置Easy IP(nat outbound 2000

测试

测试PC1是否与客户端Client互通

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1317503.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【FPGA/verilog -入门学习11】verilogTestbench中的文本文件写入,读出,打印等操作

本文参考&#xff1a;Verilog中的系统任务&#xff08;显示/打印类&#xff09;--$display&#xff0c; $write&#xff0c;$strobe&#xff0c;$monitor-CSDN博客 Verilog&#xff1a;parameter、localparam的区别和用法-CSDN博客 Verilog的系统任务----$fopen、$fclose和$fd…

SQL Server 远程连接服务器数据库

本文解决sql server的远程连接问题。需要开启防火墙&#xff0c;开启端口&#xff0c;并处理权限不足的报错: 【use 某数据库】The server principal "[server]" is not able to access the database "[database]" under the current security context. 【…

SCI一区级 | Matlab实现GWO-CNN-GRU-selfAttention多变量多步时间序列预测

SCI一区级 | Matlab实现GWO-CNN-GRU-selfAttention多变量多步时间序列预测 目录 SCI一区级 | Matlab实现GWO-CNN-GRU-selfAttention多变量多步时间序列预测预测效果基本介绍程序设计参考资料 预测效果 基本介绍 1.Matlab实现GWO-CNN-GRU-selfAttention灰狼算法优化卷积门控循环…

【接口技术】课堂word补充习题和讲解(乱序)

DAC & ADC 1&#xff1a;B 梯形电阻网络中的电阻是R和2R&#xff0c;只用了2种阻值 2&#xff1a;B LSBFSR/(2^n)5V / 2^10 5V / 1024 0.0048828125V 4.883mV 3&#xff1a;输入寄存器、DAC寄存器、D/A转换器 如下图所示 中断向量表&#xff0c;CSIP 多个元件互连的例题…

2023年12月5日,北京elastic Meetup 腾讯分享的搜索优化经验

1、减少长文本模糊匹配&#xff0c;降低 CPU 大量分词上的开销 长文本全文查询由于在查询时需要进行分词处理&#xff0c;因此在查询并发较大的情况下&#xff0c; cpu会先于IO被打满&#xff0c;从而出现大量的查询拒绝。 2、设置多副本提高并发和均衡单节点压力 Search查询请…

Linux访问MySQL数据库(包含实验案例)

1、访问MySQL数据库。 1.1、登录到MySQL服务器 经过安装后的初始化过程&#xff0c;MySQL数据库的默认管理员用户名为"root"&#xff0c;密码为空。 [rootyang ~]# mysql -u root //"-u"选项用于指定认证用户有密码的情况下&#xff0c;使用"-p&qu…

【OpenCV】 OpenCV 源码编译并实现 CUDA 加速 (Windows)

OpenCV 源码编译并实现 CUDA 加速 Windows 1. 环境准备1.1 软件环境1. 2 源码下载 2. CMake编译项目2.1 创建cmake项目2.2 设置编译配置2.3 解决异常2.3.1 文件下载异常2.3.2 解决CUDA版本异常 2.4 编译项目 3. Visual Studio 编译项目4. 项目测试5. 总结 OpenCV是一个基于Apac…

鸿蒙南向开发环境的搭建

在嵌入式开发中&#xff0c;很多开发者习惯于使用Windows进行代码的编辑&#xff0c;比如使用Windows的Visual StudioCode进行OpenHarmony代码的开发。但当前阶段&#xff0c;大部分的开发板源码还不支持在Windows环境下进行编译&#xff0c;如Hi3861、Hi3516系列开发板。因此&…

Hudi cleaning

核心概念 hudi提供了很多项数据服务来管理表中的数据&#xff0c;其中有一项服务称之为Cleaner&#xff08;数据清理服务&#xff09;。随着用户向表中写入的数据越多&#xff0c;对于每一次的更新&#xff0c;hudi都会产生一个版本的数据文件保存更新后的记录&#xff08;COP…

Javascript 嵌套函数 - 递归函数 - 内置函数详解

Javascript 嵌套函数 - 递归函数 - 内置函数详解 目录 Javascript 嵌套函数 - 递归函数 - 内置函数详解 一、嵌套函数 二、递归函数 三、内置函数 在了解了函数的定义和函数调用外&#xff0c;下面我们来介绍一下JavaScript中几种特殊的函数。 JavaScript特殊函数有3种&a…

工艺雕塑品牌网站搭建效果如何

工艺雕刻品往往受到不少人喜欢与较高的市场需求度&#xff0c;比如室内雕塑摆件、室外标志性雕刻品等&#xff0c;而对相关企业来说&#xff0c;品牌经营过程中也面临着一些难题&#xff1a; ① 品牌传播难 工艺雕刻品因为只有小部分人才会需要或采购&#xff0c;可能大部分民…

JAVA序列化(创建可复用的 Java 对象)

JAVA 序列化(创建可复用的 Java 对象) 保存(持久化)对象及其状态到内存或者磁盘 Java 平台允许我们在内存中创建可复用的 Java 对象&#xff0c;但一般情况下&#xff0c;只有当 JVM 处于运行时&#xff0c;这些对象才可能存在&#xff0c;即&#xff0c;这些对象的生命周期不…

暂退法(丢弃法)

在深度学习中&#xff0c;丢弃法&#xff08;Dropout&#xff09;是一种常用的正则化技术&#xff0c;旨在减少模型的过拟合现象&#xff0c;可能会比之前的权重衰减(Weight Decay)效果更好。通过在训练过程中随机丢弃一部分神经元&#xff0c;可以有效地减少神经网络中的参数依…

普冉(PUYA)单片机开发笔记(11): I2C通信-配置主从收发

概述 在上一篇《普冉&#xff08;PUYA&#xff09;单片机开发笔记(10): I2C通信-配置从机-CSDN博客》配置了 PY32F003 的 I2C 从机一侧&#xff0c;今天配置主机&#xff0c;并实现主-从机之间的报文收发。 为了完成这个实验&#xff0c;需要两块 PY32F003F18P 的开发板&…

001 Windows虚拟机

一、虚拟机安装Windows10 选自定义安装 升级是针对你电脑上有系统的情况下&#xff0c;你要升级&#xff1b;没有系统就选择自定义。 硬盘60G 直接单击下一步就是一个盘 如果你想对磁盘进行分区 分第一个区的时候它会去创建系统的保留分区和系统分区&#xff0c;然后还剩20…

Linux下C++程序瘦身

目录 一.前言二.如何瘦身三.如何读取调试信息文件四.其他 一.前言 我们知道&#xff0c;C程序如果带着调试信息的话会比较大&#xff0c;所以一般发布版本都会去掉调试信息&#xff0c;但是我们又希望如果程序崩溃了可以使用core转储文件进行调试&#xff0c;如果不带调试信息…

数据结构之----贪心算法

数据结构之----贪心算法 什么是贪心算法&#xff1f; 贪心算法是一种常见的解决优化问题的算法&#xff0c;其基本思想是在问题的每个决策阶段&#xff0c;都选择当前看起来最优的选择&#xff0c;即贪心地做出局部最优的决策&#xff0c;以期望获得全局最优解。 贪心算法简…

SpringBoot配置文件加载的优先级及自定义配置

Spring Boot使用一个非常特殊的PropertySource顺序&#xff0c;旨在允许合理的值重写&#xff0c;越靠前优先级越高。属性按以下顺序考虑&#xff1a; 开发者工具Devtools全局配置参数 在IDEA或Eclipse中&#xff0c;安装并启用Spring Boot Devtools插件。打开项目的Settings…

[Big Bird]论文解读:Big Bird: Transformers for Longer Sequences

文章目录 1 介绍2 模型架构3 结果 论文&#xff1a;Big Bird: Transformers for Longer Sequences 作者&#xff1a;Manzil Zaheer, Guru Guruganesh, Avinava Dubey, Joshua Ainslie, Chris Alberti, Santiago Ontanon, Philip Pham, Anirudh Ravula, Qifan Wang, Li Yang, Am…

【Java 并发】三大特性

在 Java 的高并发中&#xff0c;对于线程并发问题的分析通常可以通过 2 个主核心进行分析 JMM 抽象内存模型和 Happens-Before 规则三大特性: 原子性, 有序性和可见性 JMM 抽象内存模型和 Happens-Before 规则, 前面我们讨论过了。这里讨论一下三大特性。 1 原子性 定义: 一个…