本文详细介绍了访问控制列表(ACL)、网络地址转换(NAT)和PAT端口多路复用的相关理论。涵盖了ACL的工作原理、种类及应用,NAT的功能、优缺点以及静态与动态NAT,最后讲解了PAT的作用及其不同类型,如NAPT和NAT Server。
ACL
一、ACL(访问控制列表)
(一)访问控制列表(ACL)
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤(相当于防火墙)
(二)ACL的工作原理
1、访问控制列表在接口应用的方向
①出:已经经过路由器的处理,正离开路由器接口的数据包
②入、已经到达路由器接口的数据包,将被路由器处理
③列表应用到接口的方向与数据方向有关
2、访问控制列表的处理过程
ACL两种作用:
①用来对数据包做访问控制(丢弃或者放行)
②结合其他协议,用来匹配范围
ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
(三)ACL种类
1、基本ACL(2000-2999):只能匹配IP地址
2、高级ACL(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段
3、二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则
(四)ACL的应用原则
1、基本ACL:尽量用在靠近目的点
2、高级ACL:尽量用在靠近源的地方,可以保护带宽和其他资源
(五)应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上到下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
(六)ACL相关配置
-----
[Huawei] acl number 2000 ###创建acl 2000
[Huawei-acl-basic-2000] rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量, 0代表仅此一台, 5是这条规则的序号(可不加)
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GiqabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GiqabitEthernet0/0/1]traffic-filter outbound acl 2000 ###接口出方向调用acl
outbound代表出方向, inbound代表进入方向
[Huawei-GigabitEthernet0/0/1] undo sh
----------------
[Huawei] acl number 2001 ##进入acl 2000列表
[Huawei-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255 ###permit代表允许, source代表来源,掩码部分为反掩码
[Huawei-acl-basic-2001] rule deny source any ##拒绝所有访问, any代表所有0.0.0.0 255.255.255.255 或者 rule deny
[Huawei]interface GigabitEthernet 0/0/1 ###进入出口接口
[Huawei-GiqabitEtherneto/
最低0.47元/天 解锁文章
扫一扫
3351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
