Lista de control de acceso ACL y traducción de direcciones de red NAT
Uno, descripción general de ACL
1. Significado
- Lista de control de acceso (ACL)
La lista de control de acceso (ACL) es una tecnología de control de acceso basada en el filtrado de paquetes que puede filtrar los paquetes de datos en la interfaz de acuerdo con las condiciones establecidas, lo que les permite pasar o descartar. Las listas de control de acceso se utilizan ampliamente en enrutadores y conmutadores de Capa 3. Con la ayuda de las listas de control de acceso, el acceso de los usuarios a la red se puede controlar de manera efectiva, garantizando así la seguridad de la red en la mayor medida posible.
Leer la información del encabezado de la tercera y cuarta capa
para filtrar paquetes de acuerdo con reglas predefinidas
2. Función
1. Se usa para controlar el acceso a los paquetes de datos (descartar o liberar)
2. Combinar con otros protocolos para igualar el rango
3. Principio de funcionamiento
Principio de funcionamiento de acl: cuando un paquete de datos pasa a través de una interfaz, debido a que la interfaz está habilitada con acl, el enrutador verificará el paquete en este momento y luego realizará el procesamiento correspondiente.
4. Dirección de importación y exportación
- La dirección de la lista de control de acceso al puerto en la aplicación de interfaz
1. Out: ha sido procesado por el enrutador y está saliendo del enrutador para recibir el paquete de datos de C.
2. In: el paquete de datos que ha llegado a la interfaz del enrutador será procesado por el enrutador
Dos, tipo de ACL y aplicación
1. Tipo
Tipos de
1. Acl básico (2000-2999): solo puede coincidir con la dirección IP de origen.
2. ACL avanzada (3000-3999): puede coincidir con los campos de tres y cuatro capas, como 1p de origen, IP de destino, puerto de origen y puerto de destino.
3. ACL de capa 2 (4000-4999): formule reglas basadas en la información de la capa 2, como la dirección MAC de origen, la dirección MAC de destino, la prioridad 802.1q y el tipo de protocolo de capa 2 del paquete de datos. (Solo para entender)
2. Principios de aplicación
- Principios de aplicacion
1. Las ACL básicas deben usarse lo más cerca posible del destino.
2. ACL avanzada, intente utilizarla lo más cerca posible de la fuente (puede proteger el ancho de banda y otros recursos).
3. Reglas de aplicación
- Reglas de aplicación
1. Solo se puede llamar a una ACL en la misma dirección de una interfaz.
2. Puede haber varias reglas de regla en un acl, que se ordenan de pequeñas a grandes según el ID de la regla y se ejecutan en orden de arriba hacia abajo.
3. Una vez que el paquete de datos coincide con una determinada regla, no seguirá coincidiendo hacia abajo.
4. Cuando se utiliza para el control de acceso a paquetes de datos, el valor predeterminado es dejar implícitamente todo (equipo Huawei).
Tres, descripción general de NAT
1. Significado
NAT (traducción de direcciones de red) se denomina traducción de direcciones de red y se utiliza para implementar el acceso mutuo entre redes públicas y privadas.
NAT (traducción de direcciones de red) se propuso en 1994. Cuando a algunos hosts de la red privada se les han asignado direcciones IP locales (es decir, las direcciones privadas utilizadas solo en la red privada), pero ahora desea comunicarse con los hosts en Internet (sin cifrado), puede utilizar el método NAT.
2. Principio de funcionamiento:
1. NAT se utiliza para convertir la dirección de red interna y el número de puerto en una dirección de red pública legal y un número de puerto para establecer una sesión para comunicarse con los hosts en la red pública. 2. Los hosts
fuera de NAT no pueden comunicarse activamente con los hosts dentro del NAT: NAT Si el host interno desea comunicarse, debe comunicarse activamente con una IP en la red pública, y el enrutador es responsable de establecer una relación de mapeo para realizar el reenvío de datos.
3. Función
- NAT no solo puede resolver el problema de direcciones IP insuficientes, sino que también puede evitar intrusiones desde fuera de la red y ocultar y proteger las computadoras dentro de la red.
- Uso compartido de banda ancha: esta es la función más importante del host NAT.
2. Protección de seguridad: cuando la PC en el NAT está conectada a Internet, la IP que se muestra es la IP pública del host NAT, por lo que la PC del lado del cliente tiene un cierto grado de seguridad, cuando el mundo exterior está realizando un escaneo de puertos. (escaneo de puertos), no se puede detectar la PC en el lado del cliente de origen.
4. Función
1. Ventajas: guardar direcciones IP públicas legales, manejar la superposición de direcciones, mejorar la flexibilidad y la seguridad
2. Desventajas: mayor demora, complejidad de la configuración y el mantenimiento y falta de soporte para ciertas aplicaciones (como IVPN)
5. Escriba
- NAT estática: realice una conversión uno a uno entre la dirección de red privada y la dirección de red pública. Debe configurar tantas direcciones públicas como direcciones privadas.
- La NAT estática no puede guardar direcciones de redes públicas, pero puede ocultar la red interna.
2. Cuando la red interna envía un mensaje a la red externa, la NAT estática reemplaza la dirección IP de origen del mensaje con la dirección de red pública correspondiente.
3. Cuando la red externa envía un mensaje de respuesta a la red interna, la NAT estática reemplaza la dirección de destino del mensaje con la dirección de red privada correspondiente.
- NAT dinámica: varias direcciones IP privadas corresponden a varias direcciones IP públicas, según el mapeo uno a uno del grupo de direcciones.
Cuatro, descripción general de PAT
1. Significado
- Multiplexación de puerto PAT
- PAT también se conoce como NAPT (traducción de puerto de dirección de red), que realiza el mapeo entre una dirección de red pública y varias direcciones de red privada, por lo que puede guardar direcciones de red pública. El principio básico de PAT es convertir las direcciones IP de origen de los paquetes con diferentes direcciones de red privada a la misma dirección de red pública, pero se convierten a diferentes números de puerto de la dirección, por lo que aún pueden compartir la misma dirección.
2. Función:
1. Cambie la dirección IP y el número de puerto del paquete de datos.
2. Puede guardar muchas direcciones IP de redes públicas.
3. Tipo
- PAT dinámico, incluidos NAPT y Easy IP
NAPT: varias direcciones IP de red privada corresponden a direcciones IP de red externa fija: (como 8.8.8.8).
EasyIp: varias direcciones IP de red privada corresponden a la dirección IP de red pública del puerto de red externa (como 192.168.10.1).
- PAT estática, incluido el servidor NAT
Servidor NAT: asignación de puertos, que asigna el puerto de la dirección de red privada a la dirección de la red pública, de modo que los usuarios externos puedan acceder al servidor de red interno.
Cinco, pequeño experimento
1. Pequeño experimento de ACL
R1
utm
Info: El monitor del terminal actual está apagado.
sy
Ingrese a la vista del sistema, regrese la vista del usuario con Ctrl + Z.
[Huawei] consola de interfaz de usuario 0
[Huawei-ui-console0] tiempo de espera inactivo 0 0
[Huawei-ui-console0] q
[Huawei] int g0 /
0/0 [Huawei-GigabitEthernet0 / 0/0] ip add 192.168. 1.254 24
[Huawei-GigabitEthernet0 / 0/0] un sh
Información: La interfaz GigabitEthernet0 / 0/0 no está apagada.
[Huawei-GigabitEthernet0 / 0/0] int g0 /
0/1 [Huawei-GigabitEthernet0 / 0/1] ip add 192.168.3.254 24
[Huawei-GigabitEthernet0 / 0/1] un sh
Información: Interfaz GigabitEthernet0 / 0/1 es no apagar.
[Huawei-GigabitEthernet0 / 0/1] int g0 / 0/2
[Huawei-GigabitEthernet0 / 0/2] ip add 192.168.2.254 24
[Huawei-GigabitEthernet0 / 0/2] un sh
Información: La interfaz GigabitEthernet0 / 0/2 no está apagada.
[Huawei-GigabitEthernet0 / 0/2] q
Solo permitir que PC1 acceda a la red 192.168.2.0/24.
[Huawei] acl 2000
[Huawei-acl-basic-2000] fuente de permiso de regla 192.168.1.1 0
[Huawei-acl-basic-2000] regla denegar fuente cualquier
[Huawei-acl -basic -2000] q
[Huawei] int g0 /
0/2 [Huawei-GigabitEthernet0 / 0/2] filtro de tráfico saliente acl 2000
[Huawei-GigabitEthernet0 / 0/2] q
Solo la PC1 puede comunicarse con la red 2.0
Prohibir ping desde la red 192.168.1.0/24, servidor web
[Huawei] acl 3000
[Huawei-acl-adv-3000] regla deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.1 0
[Huawei-acl-adv- 3000] q
[Huawei] int g0 /
0/0 [Huawei-GigabitEthernet0 / 0/0] filtro de tráfico entrante acl 3000
[Huawei-GigabitEthernet0 / 0/0] q
[Huawei] acl 2000
[Huawei-acl-basic-2000 ] un rule 10
[Huawei-acl-basic-2000] q
PC1., 2 no puede comunicarse con el servidor PC3 puede comunicarse con el servidor
Solo permitir que Citent1 acceda al servicio www del servidor web
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
[Huawei-acl-adv -3000] regla deny tcp source any
[Huawei-acl-adv-3000] q
PC1., 2 no puede comunicarse con el servidor y Citent1 puede comunicarse con el servidor
2. Pequeño experimento NAT
R1
utm
Info: El monitor del terminal actual está apagado.
sy
Ingrese a la vista del sistema, regrese la vista del usuario con Ctrl + Z.
[Huawei] consola de interfaz de usuario 0
[Huawei-ui-console0] tiempo de espera inactivo 0 0
[Huawei-ui-console0] q
[Huawei] int g0 /
0/0 [Huawei-GigabitEthernet0 / 0/0] ip add 192.168. 1.254 24
[Huawei-GigabitEthernet0 / 0/0] un sh
Información: La interfaz GigabitEthernet0 / 0/0 no está apagada.
[Huawei-GigabitEthernet0 / 0/0] int g0 /
0/1 [Huawei-GigabitEthernet0 / 0/1] ip add 12.0.0.254 24
[Huawei-GigabitEthernet0 / 0/1] un sh
Información: Interfaz GigabitEthernet0 / 0/1 es no apagar.
[Huawei-GigabitEthernet0 / 0/1] q
设置 静态 NAT
[Huawei] int g0 / 0/1
[Huawei-GigabitEthernet0 / 0/1] nat estática global 8.8.8.8 dentro de 192.168.1.1
[Huawei-GigabitEthernet0 / 0/1] nat estática global 8.8.8.80 dentro de 192.168.1.2
[Huawei-GigabitEthernet0 / 0/1] q
设置 动态NAT
[Huawei] grupo de direcciones nat 1 12.0.0.100 12.0.0.200
[Huawei] acl 2000
[Huawei-acl-basic-2000] fuente de permiso de regla 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] q
[Huawei ] int g0 /
0/1 [Huawei-GigabitEthernet0 / 0/1] nat outbound 2000 address-group 1 no-pat
[Huawei-GigabitEthernet0 / 0/1] q
3. PAT pequeño experimento
R1
utm
Info: El monitor del terminal actual está apagado.
sy
Ingrese a la vista del sistema, regrese la vista del usuario con Ctrl + Z.
[Huawei] consola de interfaz de usuario 0
[Huawei-ui-console0] inactivo-tiempo de espera 0 0
[Huawei-ui-console0] q
[Huawei] int g0 /
0/0 [Huawei-GigabitEthernet0 / 0/0] ip add 12.0. 0.254 24
[Huawei-GigabitEthernet0 / 0/0] un sh
Información: La interfaz GigabitEthernet0 / 0/0 no está apagada.
[Huawei-GigabitEthernet0 / 0/0] int g0 /
0/1 [Huawei-GigabitEthernet0 / 0/1] ip add 192.168.1.254 24
[Huawei-GigabitEthernet0 / 0/1] un sh
Información: Interfaz GigabitEthernet0 / 0/1 es no apagar.
[Huawei-GigabitEthernet0 / 0/1] q
动态 PAT (NAPT) 内 网 在 左 外 网 在 右
[Huawei] acl 2000
[Huawei-acl-basic-2000] fuente de permiso de regla 192.168.1.1 0
[Huawei-acl-basic-2000] q
[Huawei] grupo de direcciones nat 1 8.8.8.8 8.8.8.8
[Huawei] int g0 / 0/1
[ Huawei-GigabitEthernet0 / 0/1] nat outbound 2000 address-group 1
dynamic PAT (Easy IP) Intranet a la izquierda y red externa a la derecha
[Huawei] int g0 /
0/1 [Huawei-GigabitEthernet0 / 0/1] nat saliente 2000
[Huawei-GigabitEthernet0 / 0/1] q
PAT estático (servidor NAT), la red externa está a la izquierda, la red interna está a la derecha
[Huawei] int g0 /
0/0 [Huawei-GigabitEthernet0 / 0/0] protocolo del servidor nat tcp global current-interface 80
80 dentro de 192.168.1.1 80