ACL、NAT

最新推荐文章于 2025-08-05 01:02:29 发布
原创 最新推荐文章于 2025-08-05 01:02:29 发布 · 1.2k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能路由器 #网络

ACL

ACL的原理及其配置:

ACL:access list 访问控制列表

作用:

1、对数据包的访问进行控制

2、对协议进行控制

ACL配置在路由器上,数据包从接口经过的时候,接口配置acl策略,路由器会根据策略,检查数据包,然后根据策略做出响应的处理。

ACL是一系列permit或deny组成的有序规则的列表。

ACL在接口上如何应用:

在入口:数据包从入口进入路由器,能不能进路由器。

在出口:数据包经过路由器处理之后,数据包能不能出去。

匹配源IP 目的IP 端口 协议

ACL种类:

基本ACL:2000-2999 只能匹配源IP地址

高级ACL:3000-3999 源IP 目的IP 源端口 目标端口,三层协议(icmp)和四次协议(tcp/udp/http/https)都可以支持

二层ACL:4000-4999,根据设备Mac地址匹配,如果设备更换,所有配置要重新写。

ACL使用原则:

基本ACL:尽量用在靠近目的地。

高级ACL:尽量使用在靠近源的地方。

在这里插入图片描述

基本acl语句:

rule 5 permit source 1.1.1.0 0.0.0.255

rule 5 deny source 1.1.1.0 0.0.0.255

子网掩码中 1 不可变 通配符中 1 为可变位

ACL应用规则和匹配顺序:

1、一个接口的同一方向只能调用一个ACL规则。

2、一个ACL可以有多个规则。规则的ID从小到大培训,从上到下依次执行。

3、数据包一旦被某条策略匹配就不再继续向下匹配,匹配机制

4、默认是放行所有(华为设备)。

NAT:网络地址转换

在这里插入图片描述

NAT配置在路由器上配置

NAT技术:内网到外网,源IP发生变化

外网到内网,目的IP发生

静态NAT(淘汰),不动,不变,需要手动修改。一个私有地址对于一个公网地址。

NAPT:端口多路复用。

主机数量太多:端口范围1-65535

设备性能问题:转发效率会降低。

在这里插入图片描述

Easy IP

在这里插入图片描述

静态nat

nat static 10.0.0.10 inside 192.168.1.10 netmast 255.255.255.255

int g0/0/2

nat static en

动态nat

nat address-group 1 10.0.0.100 10.0.0.200

acl 2000

rule permit source 192.168.1.10 0

int g0/0/2

nat outbound 2000 address-group 1 no-pat

Easy IP

所有访问的IP地址192.168.1.254:80就相当于访问12.0.0.10:80

nat server protocol tcp 指定nat服务的协议是tcp协议

global current-inter 80 指定区局的接口 192.168.1.254

inside 12.0.0.10 80 映射关系192.168.1.254:80=12.0.0.10:80

在这里插入图片描述

总结:

ACL种类和划分

基本ACL 2000-2999 源IP地址 尽量靠近目的

高级ACL 3000-3999 源IP 目的IP 源端口 目标端口 尽量靠近源端

匹配规则:从上到下,按照序号排列,按照从小到大排列。匹配到就不再向下匹配。

一个接口只能调用一个ACL

NAT核心:

内到外,源IP发生变化

外网到内网,目的IP变化

ACL NAT DHCP
dark_ones的博客
04-25 487
2.直接进接口 nat static global 8.8.8.8 inside 192.168.10.10 将静态 nat公网地址8.8.8.8对应私网192.168.10.10。二层ACL(4000-4999) 根据数据包的源MAC地址 目的MAC地址 802.1q(dot1q)优先级 二层协议类型等二层信息制定规则。高级ACL(3000-3999) 匹配源ip 目标ip 源端口 目标端口等三层和四层的字段和协议。外网向内网发送响应报文时 NAT将报文的目的地址转换为相应的私网地址。
ACLNAT
Liu_Fang_Hong的博客
04-22 698
ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。ACL是一个匹配工具,能够对报文进行匹配和区分,ACL工作时当数据包从接口经过时,进行筛选IP地址,ACL由若干条Permit或者Deny语句组成,每条语句都是ACL的规则规则编号:一个ACL中每一条规则都有一个对应的编号。
ACL NAT
MCB134的博客
12-15 1038
①实验目的PC14和PC13通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器nat,使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。③在企业出口路由器R1上添加ACL规则并在出口上应用nat,以此达到PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。1、配置PC1和PC2地址,如下图。
ACLNAT
weixin_69023088的博客
12-15 785
ACL是由一系列Permit和Deny语句组成的、有序规则的列表ACL是一个匹配工具,能够对报文进行匹配和区分ACL的组成,由若干条permit和deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易匹配基本原理是配置了ACL网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后匹配上的报文执行事先设定好的处理动作。
实验四 ACL NAT
达达兔兔
09-22 2120
实验报告四 ACL NAT 实验拓扑图 requirment 注意:IP网段统统使用 24/子网掩码 依照网络规划进行全网互联实施,内网管理vlan为vlan10,Server的地址为172.16.1.1,Switch的管理地址为172.16.1.2,PC属于vlan20,地址为172.16.2.1。 在网关上配置单臂路由,起相应子接口f0/0.10和f0/0.20,对应地址如上。要求实现v...
ACLNAT
zzzxxx520369的博客
12-15 1586
NAT(Network Address Translator,网络地址转换NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。2.NAT工作机制一个数据包从企业内网去往公网时,路由器将数据包当中的 源私网地址 翻译成 公网地址一个数据包从企业外网去往私网时,路由器将数据包当中 目的公网地址 翻译成目的私网地址NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射。
ACLNAT
Y_S_J_112的博客
07-20 941
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过技术背景需要一个工具,实现流量过滤。...
ACL NAT PAT的用处
luochu000的博客
04-05 371
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录ACL用处ACL的三种类型工作原理2.读入数据总结 ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL
Nat+acl Nat+acl
03-29
Nat+acl
ENSP实验Acl nat server
10-20
【ENSP实验Acl nat server】是网络模拟平台ENSP(Elastic Network Service Platform)中的一个实践环节,主要涉及网络安全和网络地址转换的关键技术。在实际的网络环境中,访问控制列表(Access Control List, ACL)...
RBM(VRRP HA ACL NAT)综合实操-优快云博客.pdf
02-24
根据给定文件内容,本文档为《RBM(VRRP HA ACL NAT)综合实操-优快云博客》的一部分,主要讲述了通过配置网络设备来实现实战中的网络高可用性、虚拟路由冗余协议(VRRP)、访问控制列表(ACL)以及网络地址转换(NAT)的具体...
CCNA ACL NAT PPT 文件
10-20
标题中的"CCNA ACL NAT PPT 文件"表明这是一份关于Cisco Certified Network Associate(CCNA)认证课程中访问控制列表(ACL)和网络地址转换(NAT)的PowerPoint(PPT)教学材料。描述中提到这份文档是培训老师的...
HCIP笔记(第四章)
panshiyangmaye的博客
08-03 992
描述区域内的MA网络(广播网络、NBMA网络)链路的路由器及掩码信息仅在区域内部传输只有DR才会产生type2_LSA[R1]dis ospf lsdb network 查看Type2 LSA的具体信息Summary LSA(聚合LSA)在整个OSPF区域内,描述其他区域的链路信息以子网形式传播,类似直接传递路由只有ABR会产生type3_LSA[R1]dis ospf lsdb summary 查看Type3 LSA的具体信息描述ASBR的信息只有ABR才会产生TYPE4 LSA。
OSPF知识点整理
menge2333的博客
08-03 1003
OSPF 作为链路状态路由协议的代表,其分层设计、快速收敛、无环路特性使其成为中大型网络的首选 IGP。掌握区域划分、LSA 类型、邻居建立过程及 SPF 算法是理解 OSPF 的核心,而实际配置中需重点关注 RID、区域宣告、DR/BDR 选举及认证等细节。
【软考中级网络工程师】知识点之 VRRP
邓邓子的博客
08-02 716
本文围绕软考中级网络工程师必备的 VRRP 知识点展开,详解其定义与核心价值 —— 解决网关单点故障问题。文中阐述虚拟路由器、虚拟 IP、主备设备、优先级等核心概念,深度剖析选举过程、心跳检测及主备切换原理,提供华为设备 VRRP 主备模式配置步骤与示例,并分析 Master 频繁切换、主备切换失效等常见问题及排查方法。通过理论与实践结合,助力读者掌握 VRRP 关键知识,为备考及实际网络部署奠定基础。
ospf笔记
2301_80438625的博客
08-03 559
仅通过组播发送变化的路由信息,大幅降低带宽消耗;采用触发式更新机制,实现毫秒级快速收敛;以链路实际开销(COST)为度量,选路更精准;通过 SPF 算法天然避免环路,30 分钟仅周期性更新链路状态摘要(LSA),稳定性更强。受限于 15 跳的最大路由范围,无法支持大规模网络;以跳数为唯一度量值,无法根据链路实际性能选路;OSPF 传递的是全网拓扑结构图 + 路由信息,路由器可自主计算最优路径;头部固定 20 字节,包含链路状态类型、老化时间、链路状态 ID、通告路由器 ID、序列号、校验和等关键标识信息。
ospf笔记和 综合实验册
scd0208的博客
08-03 754
totally stub区域(完全末梢区域) 拒绝学习域外和其他区域的路由信息 不接受3类、4类、5类LSA;ABR聚合(3类) 将一个区域的LSA聚合后发布到相邻区域 [r1-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0 不影响ABR本机路由,仅影响相邻区域下游路由器路由;- 非骨干区域无法和骨干区域保持连通:由于区域划分问题,非骨干区域未能与骨干区域正常连接,导致ABR不会转发区域间的路由信息,非骨干区域与骨干区域无法保持连通。
OSPF 知识点总结
最新发布
Lgnazio的博客
08-05 696
DD报文的序列号,在DD报文交互的过程中,DD序列号被逐次加1,用于确保DD报文传输的有序和可靠性。值得注意的是,DD序列号必须是由Master路由器来决定的,而Slave路由器只能使用Master路由器发送的DD序列号来发送自己的DD报文。dead-time一致;对于OSPF的ASBR设备LSDB表的影响只学习到了聚合后的聚合,对于下游设备的LSDB表有影响,只学到聚合后的LSA。注:3类LSA的传递范围在ABR相邻的单区域中进行,跨区域传递时,需要进行通告者的转换,通告者变了,则将不是同一条LSA。
2024-2025华为ICT大赛中国区 实践赛网络赛道(高职组)全国总决赛 理论部分真题+解析
gaogao0305的博客
08-01 527
本文为2024-2025华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 高职组 理论部分考试真题以及对应详细解析,涵盖数通模块8题、DCN模块4题、安全模块4题、WLAN模块4题。
vlan vlanif 单臂路由 DHCP ospf acl nat
06-13
### 单臂路由配置结合VLAN、VLANIF接口、DHCP服务、OSPF协议、ACLNAT #### 1. VLAN与VLANIF接口配置 在单臂路由中,路由器通过一个物理接口连接到交换机的Trunk端口。交换机上的Trunk端口需要允许所有相关的VLAN流量通过。路由器上需要创建多个VLANIF逻辑接口,每个接口对应一个VLAN,并分配IP地址。 ```python # 路由器配置示例 Router(config)# interface GigabitEthernet0/0 Router(config-if)# no shutdown Router(config-if)# encapsulation dot1Q 10 # 配置子接口对应VLAN 10 Router(config-subif)# ip address 192.168.10.254 255.255.255.0 Router(config)# interface GigabitEthernet0/0.20 Router(config-subif)# encapsulation dot1Q 20 # 配置子接口对应VLAN 20 Router(config-subif)# ip address 192.168.20.254 255.255.255.0 ``` #### 2. DHCP服务配置 DHCP服务器可以部署在路由器上,为不同VLAN中的设备分配IP地址。以下是为VLAN 10和VLAN 20配置DHCP池的示例[^1]。 ```python Router(config)# ip dhcp pool VLAN10 Router(dhcp-config)# network 192.168.10.0 255.255.255.0 Router(dhcp-config)# default-router 192.168.10.254 Router(dhcp-config)# dns-server 8.8.8.8 Router(config)# ip dhcp pool VLAN20 Router(dhcp-config)# network 192.168.20.0 255.255.255.0 Router(dhcp-config)# default-router 192.168.20.254 Router(dhcp-config)# dns-server 8.8.8.8 ``` #### 3. OSPF协议配置 为了实现不同VLAN之间的路由互通,可以在路由器上启用OSPF协议,并将各VLANIF接口加入OSPF区域[^3]。 ```python Router(config)# router ospf 1 Router(config-router)# router-id 1.1.1.1 Router(config-router)# network 192.168.10.0 0.0.0.255 area 0 Router(config-router)# network 192.168.20.0 0.0.0.255 area 0 ``` #### 4. 访问控制列表(ACL)配置 通过ACL可以限制不同VLAN之间的访问权限。例如,禁止VLAN 10访问VLAN 20[^2]。 ```python Router(config)# access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 Router(config)# access-list 101 permit ip any any Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip access-group 101 in ``` #### 5. 网络地址转换(NAT)配置 NAT用于实现内部网络与外部网络之间的地址转换。以下是一个基本的NAT配置示例[^1]。 ```python Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload Router(config)# access-list 1 permit 192.168.10.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.20.0 0.0.0.255 Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip nat inside Router(config)# interface GigabitEthernet0/1 Router(config-if)# ip nat outside ``` ### 注意事项 - 确保所有VLANIF接口的IP地址不冲突。 - 在启用NAT之前,确认内部网络的默认网关已正确配置。 - ACL规则应根据实际需求调整,避免误阻正常流量。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码要你命

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值