目录
一、ACL
1.1 ACL概述
1.2 ACL工作原理
1.3 ACL分类
1.4 ACL命令格式
1.5 ACL应用原则
二、NAT
2.1 NAT概述
2.2 NAT工作原理
2.3 NAT分类
2.4 NAT命令格式
ACL(Access Control List)访问控制表,在网络领域中用于控制数据包在网络设备(路由器、防火墙等)的流动。
当数据包从接口经过时,由于接口启用了ACL, 此时路由器会根据策略对报文做出相应的处理。
- 基本ACL:编号范围2000~2999,只能控制数据包中的源IP地址(数据从哪个IP过来的)
- 高级ACL:编号范围3000~3999,可以细化到源IP地址、目的IP地址、端口号、协议类型等进行流量过滤,并且提供了更精细的流量控制和安全策略。
- 基本ACL:
- 高级ACL:
通配符掩码:
匹配ACL控制范围,0代表此位不可以变化,1代表此位可以变化。
如:192.168.1.0/24 若想要其范围在192.168.1.0~192.168.1.3则前三个网络位都不变,最后一位为0展开为0000 0000,最后一位为3展开为0000 0011,只有最后两位可变,所以通配符掩码为0.0.0.3。
0.0.0.0表示都不可变即代表该地址本身,
192.168.1.0的通配符掩码为0.0.0.255,则代表范围为192.168.1.0~192.168.1.255,
192.168.1.0的通配符掩码为0.0.0.244,则代表范围为前三位为192.168.1固定不变且最后一位为0~255之间的所有偶数,2、4、6、8、...、244,
192.168.1.1的通配符掩码为0.0.0.244,则代表范围为前三位为192.168.1固定不变且最后一位为0~244之间的所有奇数,1、3、5、7、...、255。
- 基本ACL:尽量用在靠近目的IP地址的端口(出口)
- 高级ACL:尽量用在靠近源IP地址的端口(接口)
NAT(Network Address Translation,网络地址转换)是一种网络通信技术,用于将一个网络地址空间映射到另一个网络地址空间,NAT技术的主要作用是实现内部网络与外部网络之间的通信转换,并在一定程度上提高网络的安全性,同时缓解IPv4地址短缺问题。
数据包从路由器出去时将源IP地址由私网改为公网,数据包从路由器回来时将目的IP由公网改为私网。
- 静态NAT:手动将一个私网地址与公网地址进行关联,两者一一对应,缺点与静态路由一样
- 动态NAT:设置一个地址池,池中放公网地址,私网地址将随机与池中公网地址对应
- NATPT:内网服务器的相应端口映射成路由器公网IP地址的相应端口
- Easy-IP:将IP地址和端口号一起转换,将所有的私网地址映射成路由器当前接口的公网地址
- 静态NAT:
- 动态NAT:
- NATPT:
- Easy-IP