ACL
ACL (Lista de control de acceso) La
lista de control de acceso lee la información del encabezado de la tercera y cuarta capa y filtra los paquetes de acuerdo con las reglas predefinidas.
Dirección de origen, dirección de destino, puerto de origen y puerto de destino. ACL utiliza estos 4 elementos para definir regla
Principio de funcionamiento de ACL:
cuando un paquete de datos pasa a través de una interfaz, debido a que la interfaz está habilitada con ACL, el enrutador verificará el paquete en este momento y luego realizará el procesamiento correspondiente
La dirección
de la aplicación ACL en la interfaz Salida: el paquete de datos
que ha sido procesado por el enrutador y está saliendo de la interfaz del enrutador En: El paquete de datos que ha llegado a la interfaz del enrutador será procesado por el enrutador
Proceso de procesamiento de ACL
ACL tiene dos funciones:
1. Se usa para controlar el acceso de paquetes de datos (descartar o pasar)
2. Se usa para igualar el alcance en combinación con otros protocolos.
Tipos de ACL ACL
básica (2000-2999): solo se puede hacer coincidir la dirección IP de origen.
ACL avanzada (3000-3999): puede coincidir con los campos de tres y cuatro capas, como ip de origen, ip de destino, puerto de origen y puerto de destino.
Layer 2 ACL (4000-4999): Formule reglas basadas en la información de la Capa 2, como la dirección MAC de origen, la dirección MAC de destino, la prioridad 802.1g y el tipo de protocolo de la Capa 2 del paquete de datos.
Principios de la aplicación de ACL
Las ACL básicas deben usarse lo más cerca
posible del destino. Las ACL avanzadas deben usarse lo más cerca posible de la fuente (para proteger el ancho de banda y otros recursos)
Reglas de aplicación de ACL
1. Solo se puede llamar a una ACL en la misma dirección de una interfaz
2. Puede haber varias reglas en una ACL, que se ordenan de pequeñas a grandes según el ID de la regla y se ejecutan en orden de arriba a abajo
. 3. Una vez que un paquete de datos se somete a una determinada regla Si coincide, no seguirá coincidiendo hacia abajo
. 4. Cuando se utiliza para el control de acceso de paquetes de datos, se deja ir implícitamente de forma predeterminada (equipo Huawei)
NAT (capa de red)
NAT, también conocida como traducción de direcciones de red, se utiliza para lograr el acceso mutuo entre redes públicas y privadas.
El principio de funcionamiento de NAT 1. NAT se
utiliza para convertir la dirección de red interna y el número de puerto en una dirección de red pública legal y un número de puerto, establecer una sesión y comunicarse con hosts en la red pública 2. Los hosts
fuera de NAT no pueden seguir activamente los hosts dentro de la comunicación NAP, si el host interno NAP desea comunicarse, debe comunicarse activamente con una IP en la red pública, y el enrutador es responsable de establecer una relación de mapeo para reenviar datos
Dirección de red privada y dirección de red pública La dirección
de red pública (en lo sucesivo, dirección de red pública) se refiere a la dirección IP única a nivel mundial en Internet. El 26 de noviembre de 2019 es un día memorable en la era de Internet de la humanidad. Se han agotado oficialmente casi 4.300 millones de direcciones IP en todo el mundo.
La dirección de red privada (en lo sucesivo, la dirección de red privada) se refiere a la dirección IP de la red interna o del host. IANA (Agencia de asignación de números de Internet) estipula que las siguientes direcciones IP se reservan como direcciones de red privada y no se asignan en Internet, pero puede estar en una unidad o utilizarlo dentro de la empresa. Las direcciones privadas especificadas en RFC1918 son las siguientes:
Direcciones privadas de Clase A: 10.0.0.0 ~ 10.255.255.255
Direcciones privadas de Clase B: 172.16.0.0 ~ 172.31.255.255
Direcciones privadas de Clase C: 192.168.0.0 ~ 192.168.255.255
Función
NAT NAT no solo resuelve el problema de direcciones IP insuficientes, sino que también evita eficazmente las intrusiones desde fuera de la red y oculta y protege las computadoras dentro de la red.
1. Uso compartido de banda ancha: esta es la función más importante del host NAT.
2. Protección de seguridad: cuando la PC en el NAT está conectada a Internet, la IP que se muestra es la IP pública del host NAT, por lo que la PC del lado del cliente tiene un cierto grado de seguridad. Cuando el mundo exterior está realizando un escaneo de puertos (escaneo de puertos), no se puede detectar la PC en el lado del cliente de origen.
Ventajas y desventajas de NAT Ventajas: guarde las direcciones IP legales públicas, maneje direcciones superpuestas, mejore la flexibilidad y la seguridad.
Desventajas: mayor retraso, complejidad de configuración y mantenimiento, y no es compatible con ciertas aplicaciones (como VPN)
NAT
estática La NAT estática realiza una conversión uno a uno entre la dirección de la red privada y la dirección de la red pública. Debe configurar tantas direcciones de red pública como direcciones de red privada. La NAT estática no puede guardar direcciones de redes públicas, pero puede ocultar la red interna.
Cuando la red interna envía un mensaje a la red externa, la NAT estática reemplaza la dirección IP de origen del mensaje con la dirección de red pública correspondiente. Cuando la
red externa envía un mensaje de respuesta a la red interna, la NAT estática reemplaza la dirección de destino del mensaje con la correspondiente dirección privada. Dirección web
Hay dos métodos de configuración
para NAT estática
: 1. Establecer NAT estática en modo global 2. Viva directamente en la interfaz nat static
Dynamic NAP
Dynamic NAP: múltiples direcciones IP de red privada corresponden a múltiples direcciones IP de red pública, mapeo uno a uno basado en el grupo de direcciones
Multiplexación de puerto PAT
PAT, también conocido como NAPT, realiza el mapeo entre una dirección de red pública y múltiples direcciones de red privada, por lo que puede guardar direcciones de red pública
El principio básico de PAT
convierte las direcciones IP de origen de paquetes con diferentes direcciones de red privada a la misma dirección de red pública, pero se convierten a diferentes números de puerto de la dirección, por lo que aún pueden compartir la misma dirección.
Función PAT
1. Cambie la dirección IP y el número de puerto del paquete de datos
2. Puede guardar muchas direcciones IP de redes públicas
PAT tipo
1. PAT dinámico, que incluye NAPT y Easy IP
2. PAT estático, que incluye servidor NAT
Configuración
| AR1 | AR3 |
|---|---|
| Configure la dirección IP de cada puerto y enciéndalo | Configure la dirección IP de cada puerto y enciéndalo |
| nat address-group 1 18.18.18.18 18.18.18.18 (defina la IP del grupo de direcciones 1) | |
| acl 2000 (crear acl 2000) | acl 2000 |
| fuente de permiso de regla 192.168.1.1 0 (permite el tráfico de la dirección de origen, 0 significa solo esta, no se puede agregar el número de secuencia de la regla) | fuente de permiso de regla 192.168.1.0 0.0.0.255 |
| Traffic-filter outbound acl 2000 (la dirección de salida de la interfaz se llama acl2000, la de salida representa la dirección de salida y la de entrada representa la dirección de entrada) | fuente de permiso de regla 192.155.1.0 0.0.0.255 |
| nat outbound 2000 address-group 1 (cree un grupo de direcciones nat llamado 1) | |
| acl 3000 (rechazar icmp es un control avanzado, por lo que a partir de 3000) | int g0 / 0/1 |
| regla denegar fuente icmp 192.168.1.0 0.0.0.255 destino 192.168.3.1 0 (拒绝 ping) | nat outbound 2000 address-group 1 (traduzca los datos que coinciden con ACL2000 en la dirección IP de la interfaz como la dirección de origen (no pat no hace traducción de puertos, solo hace traducción de direcciones IP, el valor predeterminado es pat)) |
| int g0 / 0/02 | int g0 / 0/2 |
| filtro de tráfico entrante acl 3000 | protocolo de servidor nat tcp global 11.11.11.11 8080 dentro de 192.168.3.1 80 (en la interfaz conectada a la red pública, vincule la dirección del servidor de red privada y la interfaz de red externa como un par de enlace de mapeo NAT) |
| 192.168.3.1 80 | mostrar toda la sesión nat (ver información de la tabla de flujo NAT) |
| acl 3000 | |
| regla permiso tcp origen 192.168.1.3 0 destino 192.168.3.1 0 | |
| destino-puerto eq 80 (destino representa la dirección de destino, destino-puerto representa el número de puerto de destino, 80 puede ser reemplazado por www) | |
| regla deny tcp source any (prohíbe otro acceso) | |
| int g0 / 0/0 | |
| filtro de tráfico entrante acl 3000 | |
| mostrar acl 3000 (mostrar configuración de acl) | |
| deshacer la regla 5 (eliminar una declaración de acl) | |
| deshacer la ACL número 3000 (eliminar toda la ACL) |