ACL两种作用:
①用来对数据包做访问控制(丢弃或者放行)
读取地上三层、第四层包头信息
根据预先定义好的规则对包进行过滤
访问控制列表利用源地址目的地址源端口目的端口元素定义的规则
②结合其他协议,用来匹配范围
acl工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类:
序列号
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL(访问控制列表)的应用原则:
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则
1:一个接口的同一方向,只能调用一个acl
2:一个acl里面可以有多个rule规则,按照规则ID从小打到排序,从上往下依次执行
3:数据包一旦被某rule匹配,就不再继续向下匹配
4:用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT
NAT又称为网络地址转换,用于实现私有网络和共有网络之间的互访
NAT的转换条目
简单转换条目
扩展转换条目
NAT工作原理
NAT用来将内网地址和端口号转化成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT功能
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的侵入,隐藏并保护网络内部的计算机。
1)宽带分享:这是NAT主机的最大功能。
2)安全防护:NAT之内的PC联机到Internet,上面时,她所显示的IP时NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
NAT优缺点
优点:节省共有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延时增大、配置和维护的复杂性、不支持某些应用(比如VPN)
静态NAT和动态NAT
静态 NAT 实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态 NAT 将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态 NAT 将报文的目的地址替换为相应的私网地址
动态 NAT :多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
PAT
PAT又称为NAPT (Network Address PortTranslation),它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一公网地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。
PAT的作用:
1.改变数据包的ip地址和端口号
2.能够大量节约公网IP地址
PAT的类型有以下:
1.动态 PAT,包括 NAPT 和 Easy IP
2.静态 PAT,包括 NAT Server
NAPT:多个私网 IP 地址:对应固定外网 IP 地址(比如200.1.1.10),配置方法与动态 NAT 类似
EasyIP: 多个私网IP地址对应外网口公网IP地址(比如12.0.0.1)
NAT server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
总结:
NAT数据包从内网到外网时,会转化源IP地址,由私网地址转换成公网地址
数据包从外网到内网时,会转换目的IP地址,由公网地址转换成私网地址
server nat 端口映射
