アクセス制御リスト(ACL)
アクセス制御リストの概要
第3層と第4層のヘッダー情報
を読み取って、事前定義されたルールに従ってパケットをフィルタリングします
。
アクセス制御リストの動作原理は、インターフェイスアプリケーションの方向にあります
。これは、ルータによって処理され、ルータを離れます。データパケット入力
:ルーターインターフェイスに到達したデータパケットは、
アクセス制御リストの処理のためにルーターによって処理されます。
データパケットがインターフェイスを通過すると、インターフェイスはACLで有効になっているため、ルーターはこの時点でパケットを作成し、対応する処理を行います。一致が許可されている場合は解放され、一致が拒否された場合は破棄され、一致しない場合は次の項目が一致します。
ACLの種類
基本ACL(2000-2999):送信元IPアドレスにのみ一致できます
高度なACL(3000-3999):送信元IP、宛先IP、送信元ポート、宛先ポート、およびその他の3層4層に一致できますフィールド
2層ACL(4000〜4999):データパケットの送信元MACアドレス、宛先MACアドレス、802.1q優先度、第2層プロトコルタイプ、およびその他の層2情報に従ってルールを作成します。
ACLアプリケーションの原則:
宛先に
できるだけ近い基本的なACLを使用します。ソースにできるだけ近い高度なACLを使用します(帯域幅やその他のリソースを保護するため)
。ACLアプリケーションのルール
。1つのACLで同じ方向に呼び出すことができるのは1つだけです。インターフェイス。
複数のACLがあってはいけません。ルールのルール、小規模から大規模までの規則に従って、上から下へ、一致たら、それはもはや一致する
ACLのインスタンスをダウン
。1.アクセスにPC1をのみを許可192.168.2.0/ 24ネットワーク
2.192.168.1.0 / 24ネットワークWebサーバーからのpingを禁止します
3.Client1にWebサーバーのwwサービス
AR1設定へのアクセスのみを許可する
The device is running!
########################
<Huawei>
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]undo shutdown
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.1 0
[R1-acl-basic-2000]rule deny
[R1-acl-basic-2000]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[R1]acl 3000
[R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168
.3.1 0
[R1-acl-adv-3000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1]acl 3000
[R1-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0
destination-port eq 80
[R1-acl-adv-3000]rule deny tcp source any
PC1アクセス192.168.2.0/24の結果
Welcome to use PC Simulator!
PC>ping 192.168.2.1
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.1: bytes=32 seq=2 ttl=127 time=31 ms
From 192.168.2.1: bytes=32 seq=3 ttl=127 time=32 ms
From 192.168.2.1: bytes=32 seq=4 ttl=127 time=46 ms
From 192.168.2.1: bytes=32 seq=5 ttl=127 time=16 ms
--- 192.168.2.1 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/31/46 ms
192.168.1.0/24ネットワークpingWebサーバー
PC>ping 192.168.3.1
Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 192.168.3.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Client1にのみWebサーバーのwwサービス結果へのアクセスを許可する
NAT-ネットワークアドレス変換
プライベートネットワークとパブリックネットワーク間の相互アクセスを実現するために使用されます。
パブリックネットワークアドレスは、インターネット上でグローバルに一意のIPアドレスを指します。
プライベートネットワークアドレスは、内部ネットワークまたはホストのIPアドレスを指します。NAT NAT
の動作原理は
、内部ネットワークアドレスとポート番号を有効なパブリックネットワークアドレスとポート番号に変換し、セッションを確立し、パブリックネットワーク上のホストと通信するために使用されます。
NAT機能
1.ブロードバンド共有:これはNATホストの最大の機能です
。2。機能保護:NAT内のPCがインターネットに接続すると、表示されるIPはNATホストのパブリックIPであり、NATホストを非表示にして保護します。ネットワーク内のコンピュータ。外部からの侵入を効果的に回避します。
利点:パブリックリーガルIPアドレスを保存し、アドレスの重複に対処し、柔軟性とセキュリティを強化します。
短所:遅延の増加、構成とメンテナンスの複雑さ、一部のアプリケーション(VPNなど)をサポートしない
静的NAT
静的NATは、プライベートネットワークアドレスとパブリックネットワークアドレス間の1対1の変換を実現します。プライベートネットワークアドレスをできるだけ多く構成する必要があります。パブリックネットワークアドレスである静的NATは、パブリックネットワークアドレスを保存することはできませんが、内部ネットワークを隠す役割を果たすことができます。
静的NATは、インターフェイス上で直接NAT静的構成テストを宣言します
The device is running!
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.1.0
[R1-GigabitEthernet0/0/1]q
[R1]dis nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 8.8.8.8/----
Inside IP/Port : 192.168.1.0/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Total : 1
接続テスト
pc1と外部ネットワーク
PC>ping 12.0.0.1
Ping 12.0.0.1: 32 data bytes, Press Ctrl_C to break
From 12.0.0.1: bytes=32 seq=1 ttl=254 time=62 ms
From 12.0.0.1: bytes=32 seq=2 ttl=254 time=47 ms
From 12.0.0.1: bytes=32 seq=3 ttl=254 time=47 ms
From 12.0.0.1: bytes=32 seq=4 ttl=254 time=31 ms
From 12.0.0.1: bytes=32 seq=5 ttl=254 time=31 ms
--- 12.0.0.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/43/62 ms
PC2と外部ネットワーク
PC>ping 12.0.0.1
Ping 12.0.0.1: 32 data bytes, Press Ctrl_C to break
From 12.0.0.1: bytes=32 seq=1 ttl=254 time=62 ms
From 12.0.0.1: bytes=32 seq=2 ttl=254 time=47 ms
From 12.0.0.1: bytes=32 seq=3 ttl=254 time=47 ms
From 12.0.0.1: bytes=32 seq=4 ttl=254 time=46 ms
From 12.0.0.1: bytes=32 seq=5 ttl=254 time=32 ms
--- 12.0.0.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 32/46/62 ms
動的NAT
複数のプライベートネットワークIPアドレスは、複数のパブリックネットワークIPアドレスに対応し、アドレスプールの1対1のマッピングに基づく
動的NAT構成
The device is running!
<Huawei>
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]nat address-group 1 12.0.0.100 12.0.0.200
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
[R1-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 12.0.0.254 255.255.255.0
nat outbound 2000 address-group 1 no-pat
#
return
PATポートの多重化
PATはNAPTとも呼ばれ、パブリックネットワークアドレスと複数のプライベートネットワークアドレス間のマッピングを実現するため、パブリックネットワークアドレスを保存できます。PATの基本原則は、異なるプライベートネットワークアドレスを持つパケットの送信元IPアドレスを同じパブリックネットワークアドレスに変換することですが、それらはアドレスの異なるポート番号に変換されるため、同じアドレスを共有できます。
PATの機能
1.変更は、データパケットのIPアドレスとポート番号
2は、パブリックIPアドレスをたくさん保存でき
PATタイプ
NAPTと簡単にIPを含め1.ダイナミックPAT、
NATサーバーを含む、2スタティックPATを
NAPT
複数のプライベートネットワークIPアドレスは固定外部ネットワークIPアドレスに対応します
NAPT構成
The device is running!
<Huawei>
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]nat address-group 1 12.0.0.100 12.0.0.200
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1