ACL 原理与NAT网络地址转换

于 2025-03-16 22:55:00 发布
阅读量777 收藏 29
点赞数 27
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2502_90917285/article/details/146301945
版权

目录

一.ACL的介绍

1.ACL的概述

2.ACL工作原理及两种应用(匹配机制)

3.ACL的基本种类

4.ACL配置命令

二.NAT的介绍

1.NAT的原理及作用

2.NAT分类

3.NATPT(端口映射)

①.NAT-Server

②.举例

4.Easy-IP

①.Easy-IP

②.举例

一.ACL的介绍

1.ACL的概述

     ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。

2.ACL工作原理及两种应用(匹配机制)

   工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理(接收或拒收)。

  • 应用在端口的ACL,用于过滤数据包。
  • 应用在路由协议,匹配对应的路由协议。

   匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效。

 匹配规则:

  • 一个接口的同一方向,只能调用一个ACL;
  • 一个ACL内可以有多个rule规则,按照规则ID从小到大排序,从上到下依次执行;
  • 数据包一旦被匹配,就不会再向下匹配;
  • 用来做数据包访问控制时,默认隐含放过所有(华为设备)。

3.ACL的基本种类

  • 2000 --- 2999:基本ACL,只能根据数据包中的源IP地址匹配数据。
  • 3000 --- 3999:高级ACL,以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
  • 4000 --- 4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理。

应用原则:

  • 基本ACL:尽量用在靠近目的点。
  • 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

4.ACL配置命令

  • ACL  2000 -----------------创建基础ACL
  • rule  permit(deny) source  1.1.1.1  -----------------添加规则允许(拒绝)源IP为1.1.1.1的地址
  • int g0/0/0(?) -----------------进入需要配置的接口
  • traffic-filter   outbound(inbound) ACL 2000 -----------------在入口或出口调用ACL 2000 的规则

二.NAT的介绍

1.NAT的原理及作用

  • 作用:通过对网络地址转换,实现内网地址和公网地址的互相访问。
  • 原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。

2.NAT分类

  • 静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。【 nat static global (自定义公网IP)inside(私网IP)】
  • 动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。

 举例动态NAT: nat  address-group 1 200.1.1.10 200.1.1.15 ----------建立地址池

                           acl number 2000

                           rule 5 permit source 192.168.1.0  0.0.0.255------给需要地址转换的网段添加规则

                           int g0/0/n

                           nat static enable

                           nat outbound 2000 address-group 1 no-pat----------进入对应接口添加规则

3.NATPT(端口映射)

①.NAT-Server

NAT-Server:内网服务器对外提供服务,针对目的IP和目的端口映射,内网服务器的相应端口映射成路由器公网IP地址的相应端口。

  • 私网IP和公网IP是多对一的关系,一个公网和不同的端口可以转化成私网IP和端口。
  • 先修改从公网发送到内网的数据包的目的IP地址,NAT-Server会将数据包的目的IP地址由公网地址转化成私有地址。
  • 再修改从内网返回到外网的响应数据包的源IP地址,NAT-Server会将数据包的源IP由私网地址转化成公网地址。

②.举例

在企业出口路由器上的接口配置

int g0/0/n

ip address 192.165.1.1 255.255.255.0

nat server protocol tcp global current-interface www inside 192.168.1.100 www

nat static enable

4.Easy-IP

①.Easy-IP

   Easy-IP实现原理和NAPT相同,也是针对公网地址进行复用操作,同时转换IP地址、传输层端口,区别在于Easy-IP没有地址池的概念,直接使用边界设备连接外网接口地址作为NAT转换的公有地址。

  • 工作时同时转换IP地址和传输层端口号;
  • 使用ACL列表匹配私网IP地址;
  • 将所有的私网地址映射成路由器当前接口的公网地址。

②.举例

   acl 2000

   rule permit source 192.168.1.0 0.0.0.255

   int g0/0/n

   nat outbound 2000

CC.cc.
关注
ACL访问控制表NAT网络地址转换
不知道是谁的博客
01-06 1474
一.ACL的作用 用来对数据包做访问控制(丢弃或者放行) 结合其他协议,用来匹配范围 (一)acl工作原理 当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。 (二)acl种类 基本acl(2000—2999):只能匹配源IP地址。 高级acl(3000—3999):可以匹配源IP、目标IP、源端口、目标端口等三层四层的字段。 二层acl(4000—4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。 (三
ACL实现包过滤 NAT网络地址转换
Beatr1ce的博客
07-23 2275
学习基于老师给的的PPT、他人学习笔记维基百科、百度百科等一系列权威资料。学习笔记仅个人学习用,便于记录复习,无广泛传播之意,若有侵权,请联系我删除。欢迎各位大佬指正交流。 ...
【HCIA】11.ACLNAT地址转换
走马
07-17 563
R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //将公网地址池里的地址内网关联并进行端口转换。[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat//将公网地址池里的地址内网关联。[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 //定义内网需要转换的地址。
ACL访问控制配置演示,静态动态NAT,NAPT地址转换配置简介
树下一少年的博客
04-21 2481
一.ACL访问控制 1.ACL功能特点 (1)功能 (2)特点 2.ACL种类 (1)基础ACL: (2)增强ACL: 3.配置演示 (1)基础ACL: (2)增强ACL: 二.NAT地址转换 1.类型介绍 (1)一对一 (2)一对多 (3)多对多 2.功能 (1)将大量的私有地址转换为公有地址(节约IP地址) (2)将一个IP地址转换为另一个IP地址(增加内部网络设备的安全性) 3.缺陷: (1)很消耗网络设备资源 (2)破坏数据端到端传输,安全策略实施受限 4
网络】访问控制表地址转换
一个萌新的博客
03-21 576
访问控制表(ACL)、地址转换(静态NAT、动态NAT、NAPT、EASY_IP、NAT Server)的基本原理以及常用命令......
ACL访问控制nat网络地址转换
紫月i的博客
05-30 320
请注意,这里的步骤命令是通用的,具体的命令可能会根据华为交换机的型号操作系统版本有所不同。在进行配置之前,建议查阅你所使用的华为交换机的官方文档,以确保正确无误地执行配置步骤。这里,deny 表示拒绝,ip 表示IP协议,source 指定源IP地址,destination 指定目的IP地址,0 表示子网掩码(即单个IP地址)。另外,确保在配置ACL之前备份当前的配置,并且在配置之后进行充分的测试,以确保ACL规则按预期工作,没有影响到其他网络流量。将配置好的ACL应用到交换机上连接两台电脑的接口。
计算机网络ACL技术NAT转换
最新发布
pikaqiuu11的博客
10-21 1007
ACL(Acess Control List)的全称是访问控制列表,是由一系列permitdeny语句组成的(每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作),有序规则的列表,它是一个匹配工具,能够对报文进行匹配区分,一般在路由器以及交换机的接口上面设置。
NAT网络地址转换三种模式及配置案列
zhanglongquan的博客
06-14 6352
NAT网络术语(网络地址转换)英文全称为Network Address Translation、当企业内部员工从网络设备获取到IP地址进行通信时只能在自己的企业中通信、无法互联网上的其他设备进行通信、如访问百度等操作是无法实现的这时又想因特网上的主机通信(并不需要加密)时,可使用NAT技术。
网络技术:NAT 网络地址转换原理
Linuxhus的博客
09-03 7386
NAT 网络地址转换(NAT)技术的理论部分可以看博客——网络层——NATNAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。 在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址。内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是 ISP 相连的路由器接口的地址
访问控制列表(ACL网络地址转换NAT)——理论基础命令
weixin_53560205的博客
07-22 1768
文章目录前言一、ACL1、概述2.工作原理3、ACL类型4.ACL的匹配6.ACL的配置二、NAT1、NTC产生背景2.概念3.公有网络地址私有网络地址4.NAT的工作原理5.NAT功能6、NAT的优缺点7、NAT的类型总结 前言 在我们日常的网络应用中,需要一个工具,用来允许限制某些网关的访问,这个时候ACL应运而生。 公司的办公网络需要访问 Internet ,但是由于私网地址不允许在 Internet 上使用,全部使用公网 IP 地址又需要支付高额费用,于是很多公司都采用 AT 技术来访问 Int
NAT地址转换
Yang_sean的博客
07-17 3168
一、背景 随着Internet的发展网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。 二、NAT原理类别 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地
ACL(访问控制列表)NAT网络地址转换PAT端口多路复用相关理论
认真学习
03-18 1380
ACL一、ACL(访问控制列表)(一)访问控制列表(ACL)(二)ACL的工作原理1、访问控制列表在接口应用的方向2、访问控制列表的处理过程(三)ACL种类(四)ACL的应用原则(五)应用规则(六)ACL相关配置二、NAT网络地址转换)(一)私有网络地址公有网络地址(二)NAT工作原理(三)NAT功能(四)优缺点(五)静态NAT(六)动态NAT三、PAT端口多路复用(一)PAT作用(二)PAT的类型(三)NAPT(四)EasyIp(五)NAT Server 一、ACL(访问控制列表) (一)访问控制列表
ACL(访问控制列表)NAT网络地址转换
芦苇的博客
03-18 2070
内容概要1、ACL(访问控制列表)1、访问控制列表概述2、访问控制列表的原理3、访问控制列表的处理过程4、ACL的作用5、ACL的种类6、ACL的应用原则规则7、ACL命令2、NAT(Network Address Translation1、NAT的概述2、NAT的工作原理3、NAT的功能优缺点4、静态NAT 1、ACL(访问控制列表) 1、访问控制列表概述 1、读取第三层、第四层包头信息 2、根据预先定义好的规则对包头进行过滤 2、访问控制列表的原理 访问控制列表在接口应用的方向:出:已经经过路由器
NAT网络地址转换
weixin_44842905的博客
04-13 2753
什么是NATNAT的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目标地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。 NAT类型 源IP地址转换: 1、静态一对一 、动态一对一(No-PAT) 2、网络地址及端口转换(NAPT) 目的IP地址转换: 1、NAT Server(端口映射) 类型1:No-PAT: ● NAT No-PA...
基于列表号的Cisco标准IP ACL语法
weixin_34270865的博客
05-01 296
为庆祝2009获得多项大奖的年度巨作——《Cisco/H3C交换机配置管理完全手册》重印,以及它的姊妹篇——《CIsco/H3C路由器配置管理完全手册》将于今年10月底上市,同时感谢广大读者朋友的高度信任、评价支持,近期将多摘选几篇内容发给大家共享。该书在卓越网上现在仅需要73折:http://www.amazon.cn/mn/detailApp?ref=RK&uid=477-099...
ACL 地址转换
weixin_34250434的博客
06-13 259
实验要求: l 标准访问控制列表 n 不允许10.10.2.0访问172.16.1.0 n 不允许10.10.1.0访问172.16.5.0 n 允许其他所有流量 (方法不唯一,我的只供参考) l 扩展访问控制列表 n 不允许10.10.2.0 te...
单臂路由、扩展ACLNAT网络地址转换的配置实验
weixin_33895604的博客
05-04 470
单臂路由、扩展ACLNAT网络地址转换的配置实验环境描述:1. 使用单臂路由实现C1C2的互联互通2. 实现整个网络全网互联互通3. 使用扩展ACL实现禁止网络192.168.10.0/24中的主机ping通C3的IP地址14.0.0.14/24,禁止网络192.168.20.0/24中的主机访问C3的访问web服务,而允许其他任何流量4. 使用PAT将网络1...
CISCO IP nat 常用命令及原理详解
热门推荐
ppby2002的专栏
11-23 1万+
缺省值:没有启用NAT。 命令模式:全局配置模式。 说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。 第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。 范例1: Ruijie(config)#ip nat inside source static
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值