ACL y NAT

Others 2021-03-23 08:05:49 views: null

Directorio de artículos

Uno, ACL

1. ¿Qué es ACL?

ACL (lista de acceso) es una lista de control de acceso, lee la información del encabezado de la tercera y cuarta capa y filtra los paquetes de acuerdo con las reglas de los números predefinidos. ACL se utiliza para el control de acceso (descarte o liberación) de paquetes de datos, o se combina con otros protocolos para igualar el rango.

2. El principio de funcionamiento de ACL

El orden de ejecución de los paquetes de datos en la ACL es de arriba hacia abajo, de pequeño a grande, para realizar la coincidencia. Siempre que se produzca la primera coincidencia, se puede ejecutar la ACL. Si no se produce ninguna coincidencia, la ACL no se ejecutará pero se seguirá ejecutando la instrucción correspondiente.

3. Tipos y principios de ACL

Hay tres tipos de ACL. Son:
ACL básica (2000-2999): solo se puede hacer coincidir la dirección IP de origen.
ACL avanzada (3000-3999): puede coincidir con los campos de tres y cuatro capas, como ip de origen, ip de destino, puerto de origen y puerto de destino.
ACL de capa 2 (4000-4999): de acuerdo con la dirección MAC de origen, la dirección MAC de destino, la prioridad 802.1p, el tipo de protocolo de la capa 2 y otra información de la capa 2 del paquete de datos, se formulan reglas.
Preste atención a la ACL básica e intente utilizarla lo más cerca posible del punto de destino. La ACL avanzada debe usarse lo más cerca posible de la fuente (para proteger el ancho de banda y otros recursos).
Los principios básicos de ACL son:
1. Solo se puede llamar a una ACL en la misma dirección de una interfaz
2. Puede haber varias reglas de reglas en una ACL, que se ordenan de pequeñas a grandes según el ID de la regla y se ejecutan desde De arriba a abajo
3. Una vez que un paquete de datos coincide con una determinada regla, no seguirá coincidiendo hacia abajo
4. Cuando se utiliza para el control de acceso de paquetes de datos, se libera implícitamente de forma predeterminada.

4. Configuración de ACL

Dos, NAT

1. ¿Qué es NAT?

NAT (traducción de direcciones de red) se utiliza para lograr el acceso mutuo entre redes públicas y privadas

2. Cómo funciona NAT

NAT se utiliza para convertir la dirección de red interna y el número de puerto en una dirección de red pública legal y un número de puerto, y para establecer una sesión
. Los hosts fuera del NAT no pueden comunicarse activamente con los hosts dentro del NAT. Los hosts dentro del NAT deben comunicarse activamente con la red pública si quieren comunicarse. Para una comunicación IP, el enrutador es responsable de establecer una relación de mapeo, de modo que la función de reenvío de datos no solo pueda resolver el problema de direcciones IP insuficientes, sino que también evite efectivamente intrusiones desde fuera del red, y ocultar y proteger las computadoras dentro de la red.

3. El papel, las ventajas y las desventajas de NAT

Uso compartido de banda ancha: la función máxima del host NAT.
Protección de seguridad: cuando la PC en el NAT está conectada a Internet, la IP que se muestra es la IP pública del host NAT. Cuando el mundo exterior está realizando un escaneo de puertos (escaneo de puertos), el no se puede detectar el cliente de origen.
Ventajas de la PC : guardar direcciones IP legales compartidas, manejar la superposición de direcciones, mejorar la flexibilidad y la seguridad.
Desventajas: mayor retraso, complejidad de configuración y mantenimiento, y no es compatible con ciertas aplicaciones (como VPN)

4. Tipos de NAT

La NAT estática
realiza la conversión uno a uno entre la dirección de la red privada y la dirección de la red pública. La NAT estática no puede guardar direcciones de redes públicas, pero puede ocultar la red interna.
Cuando la red interna envía un mensaje a la red externa, la NAT estática reemplaza la dirección IP de origen del mensaje con la dirección de red pública correspondiente; cuando la red externa envía un mensaje de respuesta a la red interna, la NAT estática reemplaza la dirección de destino del mensaje con la correspondiente dirección de red privada.
NAT dinámica
Varias direcciones IP de redes privadas corresponden a varias direcciones IP de redes públicas, asignación uno a uno basada en el grupo de direcciones

5. Método de configuración NAT

El primer tipo: establecer NAT estática en modo global
[R1] nat static global 8.8.8.8 dentro de 192.168.10.10 \ Conecte la dirección de red pública con la dirección de red privada
[R1] int g0 / 0/1 \ Ingrese el puerto de red
[R1 -GigabitEthernet0 / 0/1] nat static enable \ Inicie la función nat static enable en el puerto de red. Una red pública está vinculada a una red privada.
El segundo tipo: declare directamente nat static
[R1] int g0 / 0/1 \ ingrese la red en la interfaz. Puerto
[R1-GigabitEthernet0 / 0/1] nat static global 8.8.8.8 dentro de 192.168.10.10 \ Conecte la dirección de red pública a la dirección de red privada
[R1] dis nat static \ Vea la configuración NAT estática información El grupo de la red pública está vinculado al grupo de la red privada dado
NAT dinámica: múltiples direcciones IP privadas correspondientes a una pluralidad de direcciones IP públicas, una asignación de grupo de direcciones
1, puerto de red externo configurado dirección IP y puerto de la red interna
2, el definición de grupo de direcciones IP válido
[R1] dirección nat -group 1212.0.0.100 212.0.0.200 \ Crear un nuevo grupo de direcciones nat llamado 1
3. Definir lista de control de acceso
[R1] acl 2000 \ Crear ACL
[R1 -acl-basic-2000 ] fuente de permiso de regla 192.168.20.0 0.0.0.255 \ Permitir que pasen datos con la dirección de origen de 192.168.20.0/24 segmento de red
[R1-acl-basic- 2000] fuente de permiso de regla 11.0.0.0 0.0.0.255 \ Permitir que los datos con
una dirección de origen de 11.0.0.0/24 pasen a través de una red pública a varias redes privadas vinculantes
4. Establezca la traducción dinámica de direcciones IP en el puerto de red externo
[R1-acl-basic-2000] int g0 /
0/1 \ ingrese el puerto de red [R1 -GigabitEthernet0 / 0/1] nat outbound 2000 address-group 1 no-pat \ convierta los datos coincidentes con ACL2000 en la IP de la interfaz Dirección como la dirección de origen
(sin pat no hace traducción de puerto, solo traducción de dirección IP, el valor predeterminado es pat)
[R1] dis nat outbound \ Ver información de salida de NAT

6.PAT

PAT (Port Multiplexing NAPT) realiza el mapeo entre una dirección de red pública y varias direcciones de red privada, lo que puede guardar direcciones de red pública.
Principios básicos
: Traducir las direcciones IP de origen de paquetes con diferentes direcciones de red privada a la misma dirección de red pública, pero se convierten a diferentes números de puerto de la dirección y aún pueden compartir la misma dirección.
Función
Cambie la dirección IP y el número de puerto del paquete de datos.
Puede guardar muchas direcciones IP públicas.
Tipo de PAT . PAT
dinámico, incluido NAPT y Easy IP.
PAT estático, incluido el servidor NAT
NAPT
IP de red privada múltiple correspondiente a la dirección IP de red externa fija (IP de red externa como 200.1.1.10)
Método de
configuración : Configure la dirección IP del puerto de red externo y el puerto de red interno
[R1] nat address-group 1 200.1.1.10 200.1.1.10 ## Usa una IP fija para definir un grupo de direcciones IP legales
| [R1] acl 2000
### Permitir datos cuya dirección de origen es el segmento de red 192.168.30.0/24 para pasar a través de
[R1-acl-adv-2000] fuente de permiso de regla 192.168.30.0 0.0.0.255 ## definir lista de control de acceso
[R1-acl-basic-2000] int g0 / 0/1 ### Puerto de red externo
[R1 -GigabitEthernet0 / 0/1] nat outbound 2000 address-group 1 ## Establece la conversión de la dirección IP en el puerto de red externo

IP fácil

Varias direcciones IP de red privada corresponden a la dirección IP de red pública del puerto de red externo (la dirección IP del puerto de red externo del enrutador, como 12.0.0.1)
Método de
configuración : Configure las direcciones IP del puerto de red externo y el puerto de red interno
Definir el grupo de direcciones IP legales
debido a la experimentación directa Dirección IP del puerto de red, por lo que no es necesario definir el grupo de direcciones IP.
Definir la lista de control de acceso
[R1] acl 3000 ## Permitir que pasen los datos con la dirección de origen del segmento de red 192.168.30.0/24 a través de la
regla [R1-acl-adv-3000] permitir fuente ip 192.168 .30.0 0.0.0.255
Establecer traducción de dirección IP en el puerto de red externo
[R1] int g0 /
0/1 ### Puerto de red externo [R1-GigabitEthernet0 / 0 / 1] nat outbound 3000
## Cuando llegan los datos IP de origen que coinciden con acl 3000 Cuando esta interfaz se convierte a la dirección IP de la interfaz como dirección de origen
[R1] muestra nat session all #### Ver información de la tabla de flujo de NAT

Servidor NAT

Mapeo de puertos, mapeo del puerto de la dirección privada a la dirección de la red pública para realizar el servidor de red interno para que los usuarios externos accedan a
[R1] int g0 /
0/1 [R1-GigabitEthernet0 / 0/1] protocolo de servidor nat tcp global 9.9.9.9 www dentro de 192.168.10.100 www ### En la interfaz conectada a la red pública, vincule la dirección del servidor de red privada y la dirección de la red pública como un par de enlace de mapeo NAT
[R1-GigabitEthernet0 / 0/1] protocolo de servidor nat tcp global current-interface 8080 inside 10.1 .1.1 www
## Hacer un par de enlace de mapeo NAT entre la dirección del servidor de red privada y la interfaz de red externa en la interfaz conectada a la red pública
[R1-GigabitEthernet0 / 0/1] protocolo de servidor nat tcp interfaz actual global 2121 dentro de 10.1.1.2 ftp
### Para el puerto 21, puedes usar directamente la palabra clave "ftp" en su lugar

Supongo que te gusta

Origin blog.csdn.net/xiwagogogo/article/details/112742994
Recomendado
Clasificación
Diario
Más
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)

Code World

© 2018 codetd.com