ACL与NAT

最新推荐文章于 2025-07-28 09:30:58 发布
原创 最新推荐文章于 2025-07-28 09:30:58 发布 · 675 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络

目录

ACL(访问控制列表)

ACL概述与产生背景

ACL应用

ACL种类

ACL应用原则

ACL匹配规则

NAT(网络地址翻译)

NAT工作机制        

静态NAT

NATPT(端口映射)

Easy-IP

实验

ACL(访问控制列表)

ACL概述与产生背景

ACL: access list 访问控制列表
白名单:默认拒绝所有,放一个 可以通信一个 自己内部的业务
黑名单:默认开放所有,加入一个,不能通信一个。

ACL应用

ACL 两种应用 :
1. 应用在接口的 ACL----- 过滤数据包(原目 ip 地址,原目mac, 端口 五元组)
2. 应用在路由协议 ------- 匹配相应的路由条目
3. NAT IPSEC VPN QOS----- 匹配感兴趣的数据流 (匹配上我设置的 数据流的)

ACL种类

ACL应用原则

基本 ACL: 尽量用在靠近目的点
高级 ACL: 尽量用在靠近源的地方 ( 可以保护带宽和其他资源)

ACL匹配规则

1 、一个接口的同一个方向,只能调用一个 acl
2 、一个 acl 里面可以有多个 rule 规则,按照规则 ID 从小到大排序,从上往下依次执行
3 、数据包一旦被某 rule 匹配,就不再继续向下匹配
4 、用来做数据包访问控制时,默认隐含放过所有 ( 华为设备)

 

NAT(网络地址翻译)

一个数据包目的 ip 或者源 ip 为私网地址, 运营商的设备无法转发数据。

NAT工作机制        

一个数据包从企业内网去往公网时,路由器将数据包当中的源ip (私有地址),翻译成公网地址

静态NAT

工程手动将一个私有地址和一个公网地址进行关联,一一对应,缺点和静态路由一样

NATPT(端口映射)

NAT Server---- 内网服务器对外提供服务,针对目的 ip 和目的端口映射, 内网服务器的相应端口映射成路由器公网 ip 地址的相应端口

Easy-IP

1. 使用列表匹配私网的 ip 地址
2. 将所有的私网地址映射成路由器当前接口的公网地址

实验

nat

企业出口
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shut undo shut//开启物理接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24  //配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]int g0/0/1  //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]undo shut //开启物理接口
[R1-GigabitEthernet0/0/1]ip add 202.10.10.1 24  //配置IP地址及子网掩码长度
[R1]nat address-group 1 15.0.0.10 15.0.0.11 //配置NAT外网地址池
[R1]acl 2000 //创建标准访问控制列表2000 
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //配置ACL抓取内网地址段
[R1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //在外网口调用acl2000    
[R1]ip route-static 0.0.0.0 32 202.10.10.2  // 配置默认路由,下一跳入接口 202.10.10.2
[R1-GigabitEthernet0/0/1]display nat outbound //查看是否成功

ACL

R1

[Huawei]sys R1

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24

[R1-GigabitEthernet0/0/1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24

[R1-GigabitEthernet0/0/2]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]q

[R1]acl 2000

[R1-acl-basic-2000]rule deny source 192.168.1.1 0

acl number 2000  

[R1-acl-basic-2000]int g0/0/1

[R1-GigabitEthernet0/0/1]traf

[R1-GigabitEthernet0/0/1]traffic-filter outbound 2000

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

[R1-GigabitEthernet0/0/1]undo traffic-filter outbound

[R1-GigabitEthernet0/0/1]dis th

[V200R003C00]

interface GigabitEthernet0/0/1

 ip address 192.168.2.254 255.255.255.0

return

[R1-GigabitEthernet0/0/1]q

[R1]acl 3000

[R1-acl-adv-3000]rule deny tcp 192.168.1.1 0 des

[R1-acl-adv-3000]rule deny tcp source                  

[R1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 de

stination-port eq www

[R1-acl-adv-3000]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

结果

 

 

 

Au杨
关注
锐捷防火墙(WEB)——端口映射原理及配置
君逍遥o
09-20 5647
功能原理 备注:全映射的实现原理端口映射一样,端口映射是将某个端口映射出来,而全映射是将所有端口均映射到公网IP上。 数据从NGFW通过时的处理流程: 入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。 源NAT转换通俗地讲即将源地址转换为另一个地址,目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网
HCIA知识点<6>--ACLNAT
shsbcheknexj的博客
07-17 2155
上期说到了VLAN,这期讲一下访问控制列表(ACL网络地址转换(NAT)
内网穿透(端口映射)实践,让你的小伙伴访问你的网站
QMZQDF的博客
04-29 4271
做完网站,朋友家人无法访问?内网穿透来帮你
ACL(访问控制列表)
qq_48345422的博客
03-08 556
ACL:访问控制列表 ACL作用: 访问控制--在路由器流量进或出的接口上,匹配流量,产生动作--允许拒绝 定义感兴趣流量 匹配规则: 至上而下逐一匹配,上条匹配按上条执行,不再查看下条; 华为末尾隐含允许所有,cisco末尾隐含拒绝所有; ACL分类: 标准ACL:关注数据包中的源ip地址;----定义感兴趣流量 扩展ACL:关注数据包中的源、目标ip地址,协议号或目标端口号;----访问控制 标准ACL配置命令: 由于标准ACL仅关注数据包中的...
锐捷RG-S2910E交换机配置网站白名单
fjh1997的博客
11-02 1307
【代码】锐捷RG-S2910E交换机配置网站白名单
【Java】Socket网络编程实现内网穿透、端口映射转发、内网穿透上网工具的编写,设置IP白名单防火墙
qq_39165617的博客
05-08 7427
背景 1.1 情景假设 假如我在学校里有一台台式电脑A,这台台式电脑在实验室局域网内拥有一个局域网IP 192.168.0.A(为了方便我们这样描述IP) 我在家里有一台笔记本B,这台笔记本在家中局域网内拥有一个局域网IP192.168.0.B 1.2 想要达到的目的 我在家里想使用笔记本B通过ssh登录到A电脑的22号端口进行shell相关操作 1.3 局限 我们是没法直接访问到的,因为在当前网络环境下,我们使用的机子一般都不具备公网IP,这样我们在寻址时只靠对方的局域网IP是无法找到他的 1
锐捷NAT+ACL理论讲解实验配置
m0_49864110的博客
10-08 8407
如果映射为于出接口IP同网段的其它IP地址,会由于设备不对该IP地址的ARP请求进行回应而导致映射失效(设备会认为这是一台本出口在同一网段的其它设备地址,而不是自身的地址,不会对该IP地址的ARP请求进行回应)ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。:外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,认为它是一个内部的主机而非外部主机)
ACLNAT
云计算练习生X的博客
10-18 1647
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制。ACL 工作原理当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
9、ACLNAT
razorx的博客
09-15 4035
目录 目录 ACL(Access Control List)访问控制列表 ACL编写规则 改装后的命名ACL NAT(Network Address Translation)网络地址转换 四、NAT命令 ACL(Access Control List)访问控制列表 ACL:一种包过滤技术,非常重要的技术,应用在防火墙(是防火墙最重要的技术)、Linux防火...
15、ACLNAT专题
qq_52901912的博客
12-09 2053
文章目录ACL 专题NAT 专题NAT的工作原理:NAT功能:静态NATPAT端口多路复用(NAPT)PAT的类型:NAPT 配置Easy Ip配置NAT server (生产环境常用,重点掌握) ACL 专题 ACL: access list 访问控制列表 ACL两种作用: 1、 **用来对数据包做访问控制(**丢弃或者放行) (匹配规则) 2、 **结合其他协议,**用来匹配范围 acl **工作原理:**当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查(匹配规则、数据包过滤),
java 某个目录白名单_特定目录和文件的Apache动态IP白名单
weixin_34135138的博客
02-13 314
我试图动态地将IP列入白名单以授予对特定目录的访问权限 . PHP脚本将不断修改whitelist.txt文件以添加/删除条目 .我知道处理这个的正确方法是使用RewriteMap,但我不知道如何设置它 .例如,我希望用户在访问example.com时正常访问我的站点,但是我想拒绝访问访问块路径/目录“http://example.com/block " EXCEPT for those IP ...
Konga-Kong网关的权限控制指定消费者
沈大神的博客
10-09 337
刚开始陷入了误区了,网上很多参考例子都是如何实现身份证验证,而且看到konga上面配置身份插件的地方基本都有consumer一个配置项,一直纠结在这个如何通过key-auth实现指定的route或者service指定消费者才能访问。这个误区解答就是kong身份认证和权限是独立的。 也就是说我们在添加插件: 常用的身份认证插件,只能做身份验证,所有合法的消费者都可以通过就能访问,如果要针对消费者...
AWS Network Firewall -NAT网关配置只应许白名单域名出入站
大鹅的博客
09-27 1025
注意路由是NAT网关的子网地址段-指向防火墙。选择防火墙的归属子网(选择公有子网)已有公网ip的机器 删除公网ip。绑定eip的话通关下面方式删除。继续往下拉 绑定非托管规则。ssh登录 测试效果。
iptables防火墙-NAT
m0_51586984的博客
03-20 2708
防火墙iptables-NAT、firewall、TCP_wrapper
【kong系列十】之IP白名单ip-restriction限制插件
Java高手真经
08-18 6784
IP限制插件 IP限制插件,是一个非常简单的插件,可以设置黑名单IP白名单IP这个很简单。 规则: IP白名单,支持单个,多个,范围分段IP(满足CIDR notation规则)。多个IP之间用逗号,分隔。 CIDR notation规范如下: 10.10.10.0/24 表示10.10.10.*的都不能访问。
Konga 使用说明
jiangbb8686的博客
11-23 4976
1、概要 konga 目前作为一个查看 kong 配置的平台使用,具体在设置 kong 参数时,仍存在一定问题。目前配置在 kong dashbord 较为方便。 2、konga 使用 1)环境选择 步骤 2 中点选对应环境的小星星。步骤如下: connections.png 2)查看消费者 apikey 选择对应的消费者,消费者的命名方式为 <be/fe>-<...
防火墙用户认证、NAT、策略路由、DNS透明代理以及双机热备笔记
01-28 2013
防火墙策略路由、DNS透明代理以及双机热备概述
ACL 访问控制列表全解析:从规则语法到实战配置
最新发布
-曾牛的博客
07-28 2649
语法元素说明示例创建ACL列表,为编号acl 2000(创建基本ACL,编号2000)定义单条规则,<rule-id>为规则编号(需唯一,设备按编号从小到大依次匹配规则)rule 5(创建编号为5的规则)<action>规则动作: -permit:允许匹配的流量 -deny:拒绝匹配的流量deny(拒绝流量)、permit(允许流量)匹配源IP地址: -:源IP(单个IP或网段) -:反掩码(0表示严格匹配该位,255表示任意)(匹配网段)控制逻辑:通过源/目的IP地址和协议类型。
计算机网络ACL访问控制列表和NAT网络地址转换)
guyunbingyb的博客
03-27 780
访问控制列表(ACL)读取第三层,第四层包头信息根据预先定义好的规则对包进行过滤访问控制列表在接口应用的方向出:已经过路由器的处理,正离开路由器接口的数据包入:已到达路由器接口的数据包,将被路由器处理访问控制列表的处理过程ACL在接口上定义N条规则过滤数据包,要么放行,要不丢弃匹配规则,从上往下依次匹配,匹配既停止ACL工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
【HCIA】11.ACLNAT地址转换
走马
07-17 662
R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //将公网地址池里的地址和内网关联并进行端口转换。[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat//将公网地址池里的地址和内网关联。[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 //定义内网需要转换的地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值