acl与nat

ACL

需要工具实现流量过滤

访问控制列表

ACL 应用

ACL两种应用:

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 协议与端口，五元组）

2. 应用在路由协议-------匹配相应的路由条目

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。（拒绝、接收）

ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）（单个地址）

• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据（多个地址更精确）

• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q（用的少）

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。默认是允许。

• 规则编号(Rule ID): 一个ACL中的每一条规则都有一个相应的编号。

• 步长(Step)： 步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

• Rule ID分配规则： 系统为ACL中首条未手工指定编号的规则分配编号时使用步长值(例如步长=5，首条规则编号为5)作为该规则的起始编号;为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。即默认步长为5.

通配符

​
acl 2000
#新建表格，  将你设置的 过滤条件放入 这个表格
​
​
rule permit | deny source 匹配的条件（ip地址） 通配符掩码(用来控制匹配的范围，   比较难)
#添加条件
​
​
​
子网掩码的作用： 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码： 连续的0  代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
​
通配符掩码
可以0 1穿插
​
​
​
利用ip地址+通配符匹配流量
​
掩码、反掩码-----0和1必须连续 ,通配符掩码-----0和1可以不连续
子网掩码    必须是连续的1
反掩码      必须是连续的0
通配符掩码   0和1可以不连续
#通配符：根据参考ip地址，通配符“1”对应位可变，“0”对应位不可变，0/1可以穿插
​
​
rule 5   premit  source 192.168.1.0   0.0.0.255
​
​
​
​
​
192.168.1.0
192.168.1.1   
192.168.1.2   
192.168.1.3   
192.168.1.4
​
1100 0000 .10101000.0000 0001.0000 00 00
1100 0000 .10101000.0000 0001.0000 00 01
1100 0000 .10101000.0000 0001.0000 00 10
1100 0000 .10101000.0000 0001.0000 00 11
1100 0000 .10101000.0000 0001.0000 01 00
0.0.0.0000 0111         
​
192.168.1.0  
偶数  地址 用来算偶数
0-255  
​
0.0.0.1111 1111   ---> 0.0.0.255
​
0.0.0.1111 1110    255-1
0.0.0.254
​
​
192.168.1.1 
奇数  用来算
0.0.0.254
0.0.0.1111 111 0
​
​
192.168.1.1 0.0.0.0
192.168.1.1 0
​
192.168.1.1 0.0.0.255
​
192.168.1.1        192.168.1.64
​
​
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
​
​
案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
​
​
案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
​
​
​
​
​
acl 访问控制列表
1 建立规则
2 进入接口 调用规则 inboud  outboud

eNSP平台小实验

• 基础acl 配置 离 目标地址近

• 高级acl 配置 离 源地址近

<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.3.254 24
##添加端口ID
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 2000    ##基本acl列表
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0##默认编号5 <font color='red'>拒绝</font> 来自192.168.1.1的流量
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#<font color='orange'>数据流向</font>
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
​
outbound方向-------当设备从特定接口向外发送数据时执行ACL
​
没有被acl匹配数据默认采用permit动作
​
基本acl需要调用在离目的设备最近的接口上
[Huawei-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 192.168.2.254 255.255.255.0 
 traffic-filter outbound acl 2000
#
return
​
##
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 distination 192.168.2.
1 0 destination-port    
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 distination 192.168.2.
1 0 destination-port
                                                          ^
Error:Too many parameters found at '^' position.
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 distination 192.168.2.
1 0 destination-port www
                                                          ^
Error:Too many parameters found at '^' position.
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 distination 192.168.2.
1 0 destination-porrule 5 deny tcp source 192.168.1.1 0 distination 192.168.2.1 
0 destination-poracl 3000
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.
1 0 destination-port www
                                                          ^
Error:Too many parameters found at '^' position.
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 d
stination 192.168.2.1 0 destination-port eq www
[Huawei-acl-adv-3000]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-
​
  Please check whether system data has been changed, and save data in time
​
  Configuration console time out, please press any key to log on
​
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

ACL应用原则:

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

ACL匹配规则

1、一个接口的同一个方向，只能调用一个acl 2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行 3、数据包一旦被某rule匹配，就不再继续向下匹配 4、用来做数据包访问控制时，默认隐含放过所有(华为设备)

---

NAT

NAT（网络地址翻译）net address traslation 让内网可以上公网

公网：全球可达；私网：全球不可达

私网地址：

10.0.0.0--10.255.255.255

172.16.0.0--172.167.255.255

192.168.0.0-192.168.255.255

201.0.0.1 公网地址   买的  运营商给你的
192.168.1.1    公司的内网地址
去访问  外网服务器  200.0.0.1
——————>
源地址  192.168.1.1    目的地址200.0.0.1
经过 路由器NAT技术处理     静态模式
源地址：201.0.0.1    目的地址：200.0.0.1
​
回包的时候——————>
源地址 200.0.0.1    目的地址：201.0.0.1  
经过 路由器NAT技术处理
源地址 200.0.0.1    目的地址：192.168.1.1

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址；

回来时，将目的地址，由公网地址转换为私网地址。

（nat有四种模式）

静态nat

手动将一个私有地址和一个公网地址进行关联，一一对应，分配的地址也唯一存在不冲突，缺点和静态路由一样（繁琐）

动态nat

基于地址池来实现共、私转换。

NATPT（端口映射）

网络地址端口转换NAPT允许多个内网地址映射到同一个公有地址的不同端口。

Easy IP

将ip地址和端口号（0-65535）

1. 使用列表匹配私网的ip地址

2. EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口

NAT服务器

通过配置NAT服务器可以使外网用户访问内网服务器。