华为设备ACL与NAT技术
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出.
NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式,静态转换、动态转换和端口复用技术.
华为ACL访问控制
路由器接口的访问控制取决于应用在其上的ACL,数据在进出网络前,路由器会根据ACL对其进行匹配,匹配成功将对数据进行过滤或者是转发,匹配失败则丢弃数据包,目前主要有三种ACL控制,标准ACL,扩展ACL,命名ACL,我们只介绍前两种.
在路由器上应用ACL时,可以为每种协议,每个端口,每个方向,和每个接口,配置一个ACL,一般称为3p原则.

◆标准ACL配置◆
标准ALCL只能通过源地址进行访问过滤与控制,因此只能阻止/允许来自指定IP地址的访问请求.
配置路由器: 接着配置路由器,开启路由器的Eth0/0/0和Eth0/0/1端口,并配置上网关地址.
<Huawei> system-view
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/1] quit
配置拒绝ACL规则: 这里我们在路由器上配置一条标准的ACL规则,禁止PC1访问Server1服务器.
<Huawei>system-view
[Huawei] acl 2000 // 指定一个序号 2000-2999
[Huawei-acl-basic-2000] rule deny source 192.168.1.1 0.0.0.0 // 拒绝源地址访问
[Huawei-acl-basic-2000] rule deny source 192.168.1.1 0.0.0.255 // 拒绝整个网段
[Huawei-acl-basic-2000] rule permit source 192.168.1.1 0.0.0.0 // 允许源地址访问
[Huawei-acl-basic-2000] quit
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 2000 // 在出口方向应用规则
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 // 在入口方向应用规则
测试过滤效果: 配置完规则以后,我们测试一下效果,使用PC1无法访问Server1服务器而是用PC2则可以访问.
PC1> ping 192.168.2.1
Request timeout!
Request timeout!
PC2> ping 192.168.2.1
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=47 ms
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=47 ms
这里需要注意一点,如果你有两个路由器相连,那么ACL规则应该设置在距离限制的目标较近的路由器上,否则可能会出现有效数据在到达目标之前就被过滤掉了.
◆拓展ACL配置◆
标准ACL只能使用源地址作为匹配条件,无法对访问进行精确的控制,为了解决这一问题,可以采用扩展ACL来对数据加以限制,接下来我们将配置扩展ACL,其拓扑结构图还是使用上图.
配置路由器: 接着配置路由器,开启路由器的Eth0/0/0和Eth0/0/1端口,并配置上网关地址.
<Huawei> system-view
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/1] quit
配置禁止ICMP: 禁止192.168.1.1访问192.168.2.1的icmp协议.
<Huawei> system-view
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny icmp source 192.168.1.1 0 destination 192.168.2.1 0
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
[Huawei-GigabitEthernet0/0/1] quit
[Huawei] display acl all
Total quantity of nonempty ACL number is 1
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.2.1 0 (27 matches)
禁止指定端口: 禁止TCP协议,的源地址192.168.1.1至目标地址192.168.2.1,端口号80的协议.
<Huawei> system-view
[Huawei] acl 3000
[Huawei-acl-3000] rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
[Huawei]display acl all
Total quantity of nonempty ACL number is 1
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.2.1 0 (27 matches)
测试过滤效果: 配置完规则以后,我们测试一下效果,使用PC1无法访问Server1服务器而是用PC2则可以访问.
PC1> ping 192.168.2.1
Request timeout!
Request timeout!
PC2> ping 192.168.2.1
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=47 ms
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=47 ms
与标准ACL相比,扩展ACL能够更加精确的匹配和过滤数据包,因此扩展ACL的放置位置应该离源地址越近越好,这样才能够有效的提高链路的使用效率.
华为NAT地址转换
NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式,静态转换、动态转换和端口复用技术.
NAT技术中有四种地址即,内部本地地址,内部全局地址,外部本地地址,外部全局地址.
◆配置静态NAT◆
静态NAT是指将内部本地地址与内部全局地址进行对应转换,某个本地地址只能转换为某个全局地址,通过配置静态NAT可以实现内部网络对外部网络的访问,也可以实现外部网络对内部网络中某个设备的访问.

配置路由器: 配置路由器,开启R1路由器的Eth0/0/0和Ser0/0/0端口,并配置上网关地址.
# ----配置R1路由器-----------------------------
<R1> system-view
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0
[R1-Ethernet0/0/0] quit
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 10.10.10.1 255.0.0.0
[R1-Ethernet0/0/0] quit
# ----配置R2路由器-----------------------------
<R2> system-view
[R2] interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0] ip address 10.10.10.2 255.0.0.0
[R2-Ethernet0/0/0] quit
配置静态NAT: 在路由器R1上配置静态NAT,将私有地址转为全局地址(内网地址-->外网地址).
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] nat static enable //启用静态nat
[R1-GigabitEthernet0/0/1] quit
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] nat static global 10.10.10.20 inside 192.168.1.2
[R1-GigabitEthernet0/0/1] nat static global 10.10.10.20 inside 192.168.1.2
[R1-GigabitEthernet0/0/1] nat static global 10.10.10.20 inside 192.168.1.2
查询NAT配置: 配置完成后,使用display nat static 命令可以查询端口情况.
[R1] display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 10.10.10.20/----
Inside IP/Port : 192.168.1.2/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Total : 1
测试通信情况: 此时在PC1主机可Ping通R2路由器.
PC1> ping 10.10.10.2
Ping 10.10.10.2: 32 data bytes, Press Ctrl_C to break
From 10.10.10.2: bytes=32 seq=1 ttl=254 time=47 ms
--- 10.10.10.2 ping statistics ---
1 packet(s) transmitted
1 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/47/47 ms
◆配置动态NAT◆
动态NAT是指内部本地地址与内部全局地址进行转换时,内部地址可以随机转换为指定的外部全局地址,此过程是动态分配的不需要认为干预,从而减少了配置的工作量.
但需要注意的是,配置动态NAT只能实现内部网络对互联网的访问,无法实现互联网中的主机对内部网络中的主机的访问,它是一种单向的NAT技术.
动态NAT是在出口路由器上做了一个地址池,内网PC访问外网时会从地址池内获取一个公网IP,此种技术也无法节约公网IP地址资源,接下来还是使用上面的拓扑图,但需要清空规则.
配置路由器: 配置路由器,开启R1路由器的Eth0/0/0和Ser0/0/0端口,并配置上网关地址.
# ----配置R1路由器-----------------------------
<R1> system-view
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0
[R1-Ethernet0/0/0] quit
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 10.10.10.1 255.0.0.0
[R1-Ethernet0/0/0] quit
# ----配置R2路由器-----------------------------
<R2> system-view
[R2] interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0] ip address 10.10.10.2 255.0.0.0
[R2-Ethernet0/0/0] quit
配置动态NAT: 在路由器R1上配置动态NAT,将私有地址转为全局地址(内网地址-->外网地址).
[R1] nat address-group 1 10.10.10.20 10.10.10.40 // 创建公网地址池
[R1] acl 2000 // 定义访问控制列表
[R1-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 // 定义ACL列表
[R1-acl-basic-2000] quit
[R1] interface GigabitEthernet 0/0/1
// 将ACL与地址池关联,no-pat表示不可反复使用
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
// 将ACL与地址池关联,可反复使用
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
拓展(端口映射): 将内网的192.168.1.1:8080映射到外网的10.10.10.1:80,配置如下.
[R1] interface GigabitEthernet 0/0/1
[R1] nat server protocol tcp global 10.10.10.1 80 inside 192.168.1.1 8080
测试通信情况: 此时在PC1主机可Ping通R2路由器.
PC1> ping 10.10.10.2
Ping 10.10.10.2: 32 data bytes, Press Ctrl_C to break
From 10.10.10.2: bytes=32 seq=1 ttl=254 time=47 ms
--- 10.10.10.2 ping statistics ---
1 packet(s) transmitted
1 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/47/47 ms
华为设备ACL与NAT技术的更多相关文章
- 思科设备ACL与NAT技术
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适 ...
- 华为设备acl配置
拓扑图: 需求: 1.-vlan10内所有的主机,只能通过http访问vlan30-server的服务器;不能访问vlan40-server服务器2.-vlan20-pc1主机,可以访问vlan40- ...
- ACL和NAT
1 ACL 1.1 ACL的作用 1).用来对数据包做访问控制(丢弃或者放弃) 2).结合其他协议,用来匹配范围 1.2 ACL的工作原理 当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报 ...
- NAT技术
该文摘自百度百科"NAT"中的一部分 NAT(Network Address Translation,网络地址转换)是1994年提出的.当在专用网内部的一些主机本来已经分配到了本地 ...
- NAT技术基本原理与应用
转载自:http://www.cnblogs.com/derrick/p/4052401.html?utm_source=tuicool&utm_medium=referral#undefin ...
- 换个角度审视NAT技术
NAT (Network address translation,网络地址转换 )是局域网连接到互联网的一个对接工作. 首先要知道NAT是一个技术或者说软件而不是协议 后面你会知道NAT 是偏应用层但 ...
- ARP 地址分类 NAT技术
第1章 OSI回顾 1.1 TCP/IP协议族组成 应用层 主机到主机层 互联网层 网络接入层 1.2 总结应用层掌握的协议与端口号对应关系 http(80) telnet(23) ftp(2 ...
- 代理服务器和NAT技术
一.代理服务器 所谓“代理”,就是代而劳之的意思.代理服务器就是代理网络用户去取得网络信息,形象的说:它是网络信息的中转站,使得一个网络终端和另一个网络终端不直接进行相连,代理网络用户去取得信息.主要 ...
- 转 NAT技术详解
NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣.他们浏览新闻,搜索资料,下载软件,广交新朋,分享信息,甚至于足不出户获取一切日用所需.企业利用互联网发布信息,传递资料和 ...
随机推荐
- 修改tomcat控制台的标题
Tomcat的bin目录下,创建一个名为setenv.bat的文件. setenv.bat 编辑内容 : set TITLE = 想要命名的标题名称 保存修改.重新启动. 第二种. 修改tomca ...
- 【redis 学习系列08】Redis小功能大用处02 Pipeline、事务与Lua
3.Pipeline 3.1 Pipeline概念 Redis客户端执行一条命令分为如下四个过程: (1)发送命令 (2)命令排队 (3)命令执行 (4)返回结果 其中(1)和(4)称为Round T ...
- centos7下面改变亮度
通过改自己的配置文件来改变亮度的方法在我的机器上面是不中用了,我的是台式机,我用的集成显卡,目前我找到的还勉强的方法就是通过安装redshift来改变屏幕的亮度,我就是不喜欢太亮,差点瞎了. 具体是这 ...
- 【Eureka】Eureka 是什么
Eureka是什么? Eureka 是 Netflix 的一个子模块,也是核心模块之一.Eureka 是一个基于 Rest 的服务,用于定位服务,以实现云端中间层服务发现和故障转移.服务注册和发现对于 ...
- Leetcode题目75.颜色分类(双指针-中等)
题目描述: 给定一个包含红色.白色和蓝色,一共 n 个元素的数组,原地对它们进行排序,使得相同颜色的元素相邻,并按照红色.白色.蓝色顺序排列. 此题中,我们使用整数 0. 1 和 2 分别表示红色.白 ...
- RunHelper,一个为跑步而设计的开源的android app
RunHelper是一个为跑步而设计的android应用,意在为爱跑步的人提供一个简洁.实用.免费的工具. 我自己也经常跑步,也用过像Nike running.runkeeper之类的app:Nike ...
- vuejs2项目开发实战视频教程
0.课程大纲 一.点餐系统(移动) 1.0.课件 1.1.项目初始化_首页顶部 1.2.首页列表_底部导航 1.3.商家顶部_商家优惠信息弹层 1.4.商品主体_类别菜单 1.5.购物车操作_商品信息 ...
- 基于角色的权限控制系统(role-based access control)
role-based access control(rbac),指对于不同角色的用户,拥有不同的权限 .用户对应一个角色,一个角色拥有若干权限,形成用户-角色-权限的关系,如下图所示.当一个用户进行访 ...
- 错误代码 2003不能连接到MySQL服务器在*.*.*.*(10061)
错误代码 2003不能连接到MySQL服务器在*.*.*.*(10061) 错误代码 2003不能连接到MySQL服务器在*.*.*.*(10061)哪位大侠知道怎么解决啊? 在线等!!! [[i] ...
- mybatis工作流程
1)通过Reader对象读取src目录下的mybatis.xml配置文件(该文本的位置和名字可任意) 2)通过SqlSessionFactoryBuilder对象创建SqlSessionFactory ...