11. Conhecimento de ACL e NAT

ACL

ACL (Lista de Controle de Acesso) A
lista de controle de acesso lê as informações do cabeçalho da terceira e quarta camada e filtra os pacotes de acordo com as regras predefinidas.
Endereço de origem, endereço de destino, porta de origem e porta de destino. ACL usa esses 4 elementos para definir regra

Princípio de funcionamento da ACL:
quando um pacote de dados passa por uma interface, porque a interface está habilitada com ACL, o roteador verificará o pacote neste momento e fará o processamento correspondente

A direção
do aplicativo ACL na interface Out: O pacote de dados
que foi processado pelo roteador e está deixando a interface do roteador In: O pacote de dados que atingiu a interface do roteador será processado pelo roteador

Processo de processamento de ACL

ACL tem duas funções:
1. É usado para controlar o acesso de pacotes de dados (descartar ou passar)
2. É usado para combinar o escopo em combinação com outros protocolos.

Tipos de ACL ACL
básico (2000-2999): Apenas o endereço IP de origem pode ser combinado.
ACL avançado (3000-3999): Pode corresponder aos campos de três e quatro camadas, como ip de origem, ip de destino, porta de origem e porta de destino.
Camada 2 ACL (4000-4999): Formula regras com base nas informações da Camada 2, como endereço MAC de origem, endereço MAC de destino, prioridade 802.1g e tipo de protocolo da Camada 2 do pacote de dados

Princípios de aplicação de ACL
ACLs básicos devem ser usados ​​o mais próximo possível do destino.
ACLs avançados devem ser usados ​​o mais próximo possível da fonte (para proteger a largura de banda e outros recursos)

Regras de aplicativo ACL
1. Apenas uma ACL pode ser chamada na mesma direção de uma interface
2. Pode haver várias regras em uma ACL, que são classificadas de pequeno a grande de acordo com o ID da regra e executadas de cima para baixo
3. Uma vez que um pacote de dados está sujeito a uma determinada regra Se corresponder, ele não continuará a corresponder para baixo
. 4. Quando usado para controle de acesso de pacote de dados, ele é implicitamente liberado por padrão (equipamento Huawei)

NAT (camada de rede)

NAT, também conhecido como tradução de endereço de rede, é usado para obter acesso mútuo entre redes privadas e públicas

O princípio de funcionamento do NAT 1. O NAT é
usado para converter o endereço de rede interna e o número da porta em um endereço de rede pública legal e número de porta, estabelecer uma sessão e se comunicar com hosts na rede pública 2. Hosts
fora do NAT não podem seguir ativamente os hosts dentro da Comunicação NAP, se o host interno NAP quiser se comunicar, ele deve se comunicar ativamente com um IP na rede pública, e o roteador é responsável por estabelecer uma relação de mapeamento para encaminhar os dados

Endereço de rede privada e endereço de rede pública Endereço
de rede pública (doravante denominado endereço de rede pública) refere-se ao endereço IP exclusivo globalmente na Internet. 26 de novembro de 2019 é um dia memorável na era da Internet da humanidade. Quase 4,3 bilhões de endereços IP em todo o mundo foram oficialmente esgotados.
O endereço de rede privada (doravante denominado endereço de rede privada) refere-se ao endereço IP da rede interna ou host. IANA (Internet Number Allocation Agency) estipula que os seguintes endereços IP são reservados como endereços de rede privada e não são alocados em Internet, mas pode ser em uma unidade Ou usar dentro da empresa. Os endereços privados especificados em RFC1918 são os seguintes:
Endereços privados de classe A: 10.0.0.0 ~ 10.255.255.255
Endereços privados de classe B: 172.16.0.0 ~ 172.31.255.255
Endereços privados de classe C: 192.168.0.0 ~ 192.168.255.255

Função
NAT O NAT não só resolve o problema de endereços IP insuficientes, mas também evita invasões de fora da rede e oculta e protege os computadores dentro da rede.
1. Compartilhamento de banda larga: Esta é a maior função do host NAT.
2. Proteção de segurança: Quando o PC no NAT está conectado à Internet, o IP exibido é o IP público do host NAT, então o PC do lado do cliente tem um certo grau de segurança. (varredura de porta), O PC no lado do cliente de origem não pode ser detectado.

Vantagens e desvantagens do NAT Vantagens: salvar endereços IP legais públicos, lidar com endereços sobrepostos, aumentar a flexibilidade e a segurança.
Desvantagens: maior atraso, complexidade de configuração e manutenção e não oferece suporte a determinados aplicativos (como VPN)

NAT estático O NAT
estático realiza a conversão um para um entre o endereço de rede privada e o endereço de rede pública. Você precisa configurar tantos endereços de rede pública quanto endereços de rede privada. O NAT estático não pode salvar endereços de rede pública, mas pode ocultar a rede interna.
Quando a rede interna envia uma mensagem à rede externa, o NAT estático substitui o endereço IP de origem da mensagem pelo endereço de rede pública correspondente. Quando a
rede externa envia uma mensagem de resposta à rede interna, o NAT estático substitui o endereço de destino do mensagem com o endereço privado correspondente. Endereço da web

Existem dois métodos de configuração
para o NAT estático
: 1. Defina o NAT estático no modo global 2. Ative diretamente na interface nat estático

NAP dinâmico NAP
dinâmico: vários endereços IP de rede privada correspondem a vários endereços IP de rede pública, mapeamento um para um com base no pool de endereços

Multiplexação de porta PAT

O PAT, também conhecido como NAPT, realiza o mapeamento entre um endereço de rede pública e vários endereços de rede privada, para que possa salvar endereços de rede pública

O princípio básico do PAT
converte os endereços IP de origem de pacotes com diferentes endereços de rede privada para o mesmo endereço de rede pública, mas eles são convertidos em diferentes números de porta do endereço, para que ainda possam compartilhar o mesmo endereço

Função PAT
1. Altere o endereço IP e o número da porta do pacote de dados
2. Pode salvar muitos endereços IP de redes públicas

PAT tipo
1. PAT dinâmico, incluindo NAPT e Easy IP
2. PAT estático, incluindo servidor NAT

Configuração

AR1	AR3
Configure o endereço IP de cada porta e ligue-o	Configure o endereço IP de cada porta e ligue-o
	nat address-group 1 18.18.18.18 18.18.18.18 (definir o IP do pool de endereços 1)
acl 2000 (criar acl 2000)	acl 2000
regra permitir fonte 192.168.1.1 0 (permite o tráfego do endereço de origem, 0 significa apenas este, o número de sequência da regra não pode ser adicionado)	fonte de autorização de regra 192.168.1.0 0.0.0.255
traffic-filter outbound acl 2000 (a direção de saída da interface é chamada acl2000, outbound representa a direção de saída e inbound representa a direção de entrada)	fonte de autorização de regra 192.155.1.0 0.0.0.255
	nat outbound 2000 address-group 1 (crie um pool de endereços nat chamado 1)
acl 3000 (rejeitar ICMP é um controle avançado, portanto, a partir de 3000)	int g0 / 0/1
regra negar origem do icmp 192.168.1.0 0.0.0.255 destino 192.168.3.1 0 （拒绝 ping）	nat outbound 2000 address-group 1 (traduz os dados combinados por ACL2000 no endereço IP da interface como o endereço de origem (nenhum pat não faz tradução de porta, apenas faz tradução de endereço IP, o padrão é pat))
int g0 / 0/02	int g0 / 0/2
acl 3000 de entrada de filtro de tráfego	protocolo do servidor nat tcp global 11.11.11.11 8080 dentro de 192.168.3.1 80 (na interface conectada à rede pública, vincule o endereço do servidor de rede privada e a interface de rede externa como um par de vinculação de mapeamento NAT)
192.168.3.1 80	exibir todas as sessões de nat (ver informações da tabela de fluxo de NAT)
acl 3000
regra permissão tcp fonte 192.168.1.3 0 destino 192.168.3.1 0
destination-port eq 80 (destination representa o endereço de destino, destination-port representa o número da porta de destino, 80 pode ser substituído por www)
regra negar fonte tcp qualquer (proibir outro acesso)
int g0 / 0/0
acl 3000 de entrada de filtro de tráfego
exibir acl 3000 (exibir configuração acl)
desfazer a regra 5 (excluir uma instrução acl)
desfazer acl número 3000 (excluir toda a ACL)