目录
一、理论
1.ACL
2.NAT
二、实验
1.基础ACL
2.高级ACL
3.静态NAT
4.Easy-IP
一、理论
1.ACL
(1)ACL
ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。
(2)ACL分类与标识
① 基本ACL
用在靠近目的点。
② 高级ACL
用在靠近源的地方(可以保护宽带和其他资源)
③ 基于ACL规则定义方式的分类
分类 |
编号范围 |
规则定义描述 |
基本ACL |
2000-2999 |
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 |
高级ACL |
3000-3999 |
可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段来定义规则。 |
二层ACL |
4000-4999 |
使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAc地址、二层协议类型等。 |
用户自定义ACL |
5000-5999 |
使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。 |
用户ACL |
6000-6999 |
既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号等来定义规则。 |
④ 基于ACL规则定义方式的分类
分类 |
规则定义描述 |
数字型ACL |
传统的ACL标志方法。创建ACL时,指定一个唯一的数字标识该ACL。 |
命名型ACL |
通过名称代替编号来标识ACL。 |
2.NAT
(1)NAT
NAT(Network Address Translation,网络地址转换),NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。把内网的私有地址,转化成外网的公有地址。使得内部网络上的(被设置为私有IP地址的)主机可以访问Internet。
(2)NAT分类
① 静态NAT
静态NAT将内部网络中的每个主机都永久映射成外部网络中的某个合法的地址,多用于服务器。
② 动态NAT
动态NAT是在外部网络中定义了一个或多个合法地址,采用动态分配的方法映射到内部网络。
③ NATPT(端口映射)
NAT Server,内网服务器对外提供服务,针对目的IP和目的端口映射,内网服务器的相应端口映射成路由器公网IP地址的相应端口。
④ Easy-IP
使用ACL列表匹配私网的IP地址,将所有的私网地址映射成路由器当前接口的公网地址。
二、实验
1.基础ACL
(1)拓扑图
(2)主机及服务器IPv4设置
① Client1配置
② Client2配置
③ Server1配置
④ Server2配置
(3)路由器配置
① R1配置
(4)测试连接
① Client1连接Server1 失败
②Client1连接Server2 成功
2.高级ACL
(1)拓扑图
(2)路由器配置
① R1配置
(3)测试连接
① Client1连接Server1 失败
3.静态NAT
(1)拓扑图
(2)路由器配置
① R1配置
② R2配置
(3)测试连接
① PC1连接运用商路由器
4.Easy-IP
(1) 拓扑图
(2)路由器配置
① R1配置
(3)测试连接
① PC1连接
② PC2连接