目錄

一、ACL

1.ACL概述

2.ACL應(yīng)用

3.ACL工作原理

4.規(guī)則編號

5.通配符

6.ACL的分類與標(biāo)識

7.ACL的匹配機(jī)制

8.ACL的應(yīng)用原則

9.匹配規(guī)則

二、ACL訪問控制列表實驗

1、基本ACL訪問控制列表實驗?

（1）給Client1、Client2、Server1和Server2配置ip、網(wǎng)關(guān)等?

（2）配置路由

（3）此時全網(wǎng)互通

（4）配置路由拒絕訪問命令

（5）驗證實驗?

2、高級ACL訪問控制列表實驗

（1）配置Server1中的FtpServer并啟動?

（2）進(jìn)入Client1的FtpClient中，輸入要訪問的服務(wù)器地址，并登錄?

（3）對路由器進(jìn)行配置

（4）驗證此時client1中httpclient不能訪問server1?

（5）驗證但此時client1中ftpclient可以訪問server1?

3、ACL(訪問控制列表)的應(yīng)用原則

三、HTTP

四、NAT

五、NAT實驗

1、靜態(tài)NAT實驗?

（1）給pc1和pc2配置ip，子網(wǎng)掩碼和網(wǎng)關(guān)??

（2） 路由器配置

（3）此時驗證pc1可以ping通200.1.1.2

?2、動態(tài)NAT實驗

（1）先在企業(yè)路由器中將之前的靜態(tài)NAT刪除：

?（2）此時pc1 ping不通200.1.1.2

?（3）接下來我們在這個企業(yè)路由器下進(jìn)行配置，配置如下：

（4）此時驗證pc1可以ping通200.1.1.2

3、NAPT（P：端口號）

3.1Easy-IP實驗

3.2NAT Server實驗

六、總結(jié)

1.ACL訪問控制列表

2.代碼

3.acl

4.NAT地址轉(zhuǎn)換協(xié)議工作原理

5.靜態(tài)NAT

6.動態(tài)NAT

7.NAPT

---

一、ACL

1.ACL概述

• ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表
• ACL是一個匹配工具，能夠?qū)笪倪M(jìn)行匹配和區(qū)分

2.ACL應(yīng)用

• 應(yīng)用在接口的ACL——過濾數(shù)據(jù)包（源目ip地址（低級），源目mac，端口 五元組）
• 應(yīng)用在路由協(xié)議——匹配相應(yīng)的路由條目
• NAT、IPSEC VPN、QOS——匹配感興趣的數(shù)據(jù)流（匹配上我設(shè)置的 數(shù)據(jù)流的）

3.ACL工作原理

當(dāng)數(shù)據(jù)包從接口經(jīng)過時，由于接口啟用了acl，此時路由器會對報文進(jìn)行檢查，然后做出相應(yīng)的處理(拒絕permit和允許deny)。

4.規(guī)則編號

• 規(guī)則編號(Rule ID) : 一個ACL中的每一條規(guī)則都有一個相應(yīng)的編號。
• 步長(Step) : 步長是系統(tǒng)自動為ACL規(guī)則分配編號時，每個相鄰規(guī)則編號之間的差值，缺省值為5。步長的作用是為了方便后續(xù)在舊規(guī)則之間，插入新的規(guī)則。
• Rule ID分配規(guī)則: 系統(tǒng)為ACL中首條未手工指定編號的規(guī)則分配編號時，使用步長值（例如步長=5，首條規(guī)則編號為5）作為該規(guī)則的起始編號；為后續(xù)規(guī)則分配編號時，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)作為規(guī)則編號。

5.通配符

• 通配符是一個32比特長度的數(shù)值，用于指示IP地址中,哪些比特位需要嚴(yán)格匹配，哪些比特位無需匹配。
• 通配符通常采用類似網(wǎng)絡(luò)掩碼的點(diǎn)分十進(jìn)制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同。

子網(wǎng)掩碼

? ? ? 連續(xù)的1 代表網(wǎng)絡(luò)位 ，連續(xù)的0代表主機(jī)位 0 1中間不能穿插

反掩碼

? ? ? 連續(xù)的0代表網(wǎng)絡(luò)位，連續(xù)的1代表主機(jī)位

通配符掩碼

? ? ? 根據(jù)參考ip地址，通配符“1”對應(yīng)位可變 ，”0“對應(yīng)位不可變 ，中間0 1可以穿插

6.ACL的分類與標(biāo)識

基于ACL規(guī)則定義方式的分類:

分類編號范圍規(guī)則定義描述

基本ACL	2000~2999	僅使用報文的源IP地址、分片信息和生效時間段信息來定義規(guī)則。
高級ACL	3000~3999	可使用IPv4報文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號、UDP源/目的端口號、生效時間段等來定義規(guī)則。
二層ACL	4000~4999	使用報文的以太網(wǎng)幀頭信息來定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。
用戶自定義ACL	5000~5999	使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規(guī)則。
用戶ACL	6000~6999	既可使用IPv4報文的源IP地址或源UCL（User Control List）組，也可使用目的IP地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。

基于ACL標(biāo)識方法的分類:

分類規(guī)則定義描述

數(shù)字型ACL	傳統(tǒng)的ACL標(biāo)識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標(biāo)識該ACL。
命名型ACL	通過名稱代替編號來標(biāo)識ACL。

7.ACL的匹配機(jī)制

從上而下，一次匹配，一旦匹配，立即執(zhí)行，不再匹配

小范圍寫在上面，大范圍寫在下面。

8.ACL的應(yīng)用原則

• 基本ACL:盡量用在靠近目的的地點(diǎn)點(diǎn)
• 高級ACL:盡量用在靠近源的地方(可以保護(hù)帶寬和其他資源)

9.匹配規(guī)則

• 一個接口的同一個方向，只能調(diào)用一個acl
• 一個acl里面可以有多個rule規(guī)則，按照規(guī)則ID從小到大排序，從上往下依次執(zhí)行
• 數(shù)據(jù)包一旦被某rule匹配，就不再繼續(xù)向下匹配
• 用來做數(shù)據(jù)包訪問控制時，默認(rèn)隱含放過所有(華為設(shè)備)

二、ACL訪問控制列表實驗

步驟：1.建立規(guī)則 2.進(jìn)入接口 調(diào)用規(guī)則

1、基本ACL訪問控制列表實驗

（1）給Client1、Client2、Server1和Server2配置ip、網(wǎng)關(guān)等

（2）配置路由

<Huawei>u t m ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #關(guān)閉華為的信息提示 <Huawei>sys ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #進(jìn)入系統(tǒng)視圖 [Huawei]sys r1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #改名為r1 [r1]int g0/0/0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #進(jìn)入0/0/0接口 [r1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 ? ? #配置IP [r1-GigabitEthernet0/0/0]int g0/0/1 ? ? ? ? ? ? ? ? ? #進(jìn)入0/0/1接口 [r1-GigabitEthernet0/0/1]ip add 192.168.2.254 24 ? ? #配置IP [r1-GigabitEthernet0/0/1]int g0/0/2 ? ? ? ? ? ? ? ? ? #進(jìn)入0/0/2接口 [r1-GigabitEthernet0/0/2]ip add 192.168.3.254 24 ? ? #配置IP [r1-GigabitEthernet0/0/2]q ? ? ? ? ? ? ? ? ? ? ? ? ? #退出接口模式

（3）此時全網(wǎng)互通

（4）配置路由拒絕訪問命令

[r1]acl number 2000 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #建立acl 2000規(guī)則 [r1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ? ? ? ? ? #默認(rèn)編號5 拒絕來自192.168.1.1的流量 [r1-acl-basic-2000]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #退出acl 2000規(guī)則 [r1]int g0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #進(jìn)入g0/0/1接口 [r1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ? ? #當(dāng)設(shè)備從特定接口向外發(fā)送數(shù)據(jù)時執(zhí)行ACL [r1-GigabitEthernet0/0/1]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #退出

（5）驗證實驗

在server1中配置服務(wù)器信息并啟動：

此時client2可以訪問server1:

此時client1不能訪問server1:

在路由器中輸入以下配置：

[r1]int g0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #進(jìn)入g0/0/1 [r1-GigabitEthernet0/0/1]undo traffic-filter outbound ? #刪除對于出口的限制

此時client1可以訪問server1:

2、高級ACL訪問控制列表實驗

在實驗2的基礎(chǔ)上實行

高級acl規(guī)則是從3000開始，可以根據(jù)端口的不同精確控制

（1）配置Server1中的FtpServer并啟動

（2）進(jìn)入Client1的FtpClient中，輸入要訪問的服務(wù)器地址，并登錄

（3）對路由器進(jìn)行配置

[r1]acl 3000 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #建立acl 3000規(guī)則 [r1-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www ? ? ? ? ? ? ? ? ? ? ? ? #deny tcp:阻止tcp協(xié)議 192.168.1.1：源地址 ? 0：單個地址 ? destination-port：目標(biāo)端口 ? eq：等于 ? www：也可以寫端口80 ? [r1-acl-adv-3000]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? #退出acl規(guī)則 [r1]int g0/0/0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #進(jìn)入g0/0/0端口 [r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 ? #當(dāng)接口收到數(shù)據(jù)包時執(zhí)行acl

（4）驗證此時client1中httpclient不能訪問server1

（5）驗證但此時client1中ftpclient可以訪問server1

3、ACL(訪問控制列表)的應(yīng)用原則

基本ACL：盡量用在靠近目的點(diǎn)

高級ACL：盡量用在靠近源的地方（可以保護(hù)帶寬和其他資源）

三、HTTP

使用瀏覽器訪問頁面

• 當(dāng)我們在瀏覽器中輸入URL (Uniform Resource Locator，統(tǒng)一資源定位符）時，瀏覽器就可以從某處獲取內(nèi)容，并將頁面內(nèi)容顯示在瀏覽器中。

• HTTP (Hypertext Transfer Protocol，超文本傳輸協(xié)議）﹔客戶端瀏覽器或其他程序與Web服務(wù)器之間的應(yīng)用層通信協(xié)議。

• HTTP是典型的C/S構(gòu)架應(yīng)用，作為應(yīng)用層協(xié)議使用TCP進(jìn)行傳輸。

四、NAT

公有地址:由專門的機(jī)構(gòu)管理、分配，可以在Internet上直接通信的IP地址。

私有地址:組織和個人可以任意使用，無法在Internet上直接通信，只能在內(nèi)網(wǎng)使用的IP地址。

NAT：出去的時候?qū)?nèi)網(wǎng)地址轉(zhuǎn)換成外網(wǎng)地址；回來的時候，將外網(wǎng)地址轉(zhuǎn)成內(nèi)網(wǎng)地址

靜態(tài)NAT：一個內(nèi)網(wǎng)地址對應(yīng)一個外網(wǎng)地址

當(dāng)我192.168.1.1 去訪問外網(wǎng)地址200.1.1.2 通過靜態(tài)NAT技術(shù)

修改原始報文，sip：192.168.1.1 ——改成你設(shè)置好的公網(wǎng)ip（200.1.1.3）；

dip :200.1.1.2——目標(biāo)ip 不變

回包的時候， 源ip:200.1.1.2；目的ip：設(shè)置好公司ip（200.1.1.3）

通過NAT技術(shù)，將母的ip 200.1.1.3 改成 192.168.1.1 源ip不變

五、NAT實驗

1、靜態(tài)NAT實驗

（1）給pc1和pc2配置ip，子網(wǎng)掩碼和網(wǎng)關(guān)?

（2） 路由器配置

企業(yè)路由器配置：

<Huawei>u t m #關(guān)閉華為的信息提示 <Huawei>sys #進(jìn)入系統(tǒng)視圖 [Huawei]sys r1 #改名為r1 [r1]int g0/0/0 #進(jìn)入g0/0/0接口 [r1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 #配置ip地址 [r1-GigabitEthernet0/0/0]int g0/0/1 #進(jìn)入g0/0/1接口 [r1-GigabitEthernet0/0/1]ip add 200.1.1.1 24 #配置ip地址 [r1-GigabitEthernet0/0/1]nat static enable #開啟靜態(tài)地址 [r1-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1#將公網(wǎng)地址200.1.1.100和私網(wǎng)地址192.168.1.1做對應(yīng)關(guān)系（出去時將192.168.1.1轉(zhuǎn)換成200.1.1.100 （不能直接使用200.1.1.1） [r1-GigabitEthernet0/0/1]q #退出端口

運(yùn)營商-移動路由器配置：

<Huawei>u t m #關(guān)閉華為的信息提示 <Huawei>sys #進(jìn)入系統(tǒng)視圖 [Huawei]sys r2 #改名為r2 [r2]int g0/0/0 #進(jìn)入g0/0/0接口 [r2-GigabitEthernet0/0/0]ip add 200.1.1.2 24 #配置ip地址 [r2-GigabitEthernet0/0/0]q #退出端口

（3）此時驗證pc1可以ping通200.1.1.2

2、動態(tài)NAT實驗

在上個實驗的基礎(chǔ)上，此時企業(yè)路由器目前的配置有：

（1）先在企業(yè)路由器中將之前的靜態(tài)NAT刪除：

[r1]int g0/0/1 #進(jìn)入g0/0/1接口 [r1-GigabitEthernet0/0/1]undo nat static global 200.1.1.100 inside 192.168.1.1 n etmask 255.255.255.255 #刪除靜態(tài)NAT配置命令 [r1-GigabitEthernet0/0/1]undo nat static enable

?（2）此時pc1 ping不通200.1.1.2

?（3）接下來我們在這個企業(yè)路由器下進(jìn)行配置，配置如下：

[r1]nat address-group 1 200.1.1.10 200.1.1.15 #建立地址池（從200.1.1.10 到 200.1.1.15 共六個地址）[r1]acl number 2000 #建立acl 2000規(guī)則 [r1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 #從0到255都允許通過 [r1-acl-basic-2000]q #退出acl 2000規(guī)則 [r1]int g0/0/1 #進(jìn)入g0/0/1接口 [r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat #調(diào)用group 1中的地址 （no-pat 指定不進(jìn)行端口轉(zhuǎn)換）

（4）此時驗證pc1可以ping通200.1.1.2

3、NAPT（P：端口號）

主要原理：

?有兩種一種叫Easy-IP，另一種叫NAT Server。

3.1Easy-IP實驗

使用列表匹配私網(wǎng)的ip地址

將所有的私網(wǎng)地址映射成路由器當(dāng)前接口的公網(wǎng)地址

主要路由器配置如下：

acl 2000 #建立acl 2000規(guī)則 rule permit source 192.168.1.0 0.0.0.255 #允許這個范圍內(nèi)的地址可以通過 int g0/0/1 #進(jìn)入g0/0/1這個端口 undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255#刪除之前的靜態(tài)NAT的配置nat outbound 2000 #主要配置 display nat session all

在上個實驗的基礎(chǔ)上，此時企業(yè)路由器目前的配置有：

（1）先在企業(yè)路由器中將之前的動態(tài)NAT刪除：

[r1]int g0/0/1 #進(jìn)入g0/0/1接口 [r1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat #刪除動態(tài)NAT配置命令

?（2）此時pc1 ping不通200.1.1.2

?（3）接下來我們在這個企業(yè)路由器下進(jìn)行配置，配置如下：

[r1]acl number 2000 #建立acl 2000規(guī)則 [r1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 #允許這個地址范圍內(nèi)的地址通過 [r1-acl-basic-2000]q #退出規(guī)則配置 [r1]int g0/0/1 #進(jìn)入g0/0/1端口 [r1-GigabitEthernet0/0/1]nat outbound 2000 #調(diào)用2000這個規(guī)則 [r1-GigabitEthernet0/0/1]q #退出端口 [r1]display nat session all #查看nat所有的會話

（4）此時驗證pc1可以ping通200.1.1.2

?3.2NAT Server實驗

• 內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)，針對目的ip和目的端口映射
• 內(nèi)網(wǎng)服務(wù)器的相應(yīng)端口映射成路由器公網(wǎng)ip地址的相應(yīng)端口

?在之前實驗的基礎(chǔ)上添加了一個server和client

（1）給client添加ip和網(wǎng)關(guān)

（2）?給運(yùn)營商-移動路由器配置端口g0/0/1的ip地址

[r2]int g0/0/1 #進(jìn)入接口 [r2-GigabitEthernet0/0/1]ip add 202.1.1.2 24 #配置ip地址

（3）給企業(yè)路由器配置默認(rèn)路由

[r1]ip route-static 0.0.0.0 0 200.1.1.2 #配置默認(rèn)路由

（4）此時client可以ping通200.1.1.1

（5）配置server的ip和網(wǎng)關(guān)，并且將server的80端口開啟

（6）此時client無法訪問200.1.1.1

?（7）將192.168.1.100的80端口和200.1.1.1的80端口做上對應(yīng)關(guān)系

?企業(yè)路由器配置：

<r1>u t m #關(guān)閉華為提示信息 <r1>sy #進(jìn)入系統(tǒng)視圖 [r1]int g0/0/1 #進(jìn)入g0/0/1端口 [r1-GigabitEthernet0/0/1]undo nat outbound 2000 #刪除上次實驗的配置 [r1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www in side 192.168.1.100 www #把tcp協(xié)議用在當(dāng)前接口80對應(yīng)192.168.1.100上的80 （詳細(xì)介紹: nat server protocol #使用natservertcp #代表協(xié)議是tcpglobal current-interface 80 #代表當(dāng)前端口地址的80inside 192.168.1.100 80 #內(nèi)網(wǎng)地址的80 ）[r1-GigabitEthernet0/0/1]nat static enable

?（8）此時驗證client可以ping通200.1.1.1

六、總結(jié)

1.ACL訪問控制列表

• 基本2000-2999? ?通過源ip地址控制，A和B發(fā)報文 ，報文中包含源地址 ，基本ACL比較模糊，盡量放在離目的地址近的地方 ?
• 高級3000-3999? ?五元組來控制，五元組中包含源mac、目的mac、源ip、目的ip、端口和tcp協(xié)議，所以高級ACL比較精確，盡量放在離源地址近的地方

2.代碼

• acl 2000
• rule 5? ?deny/permit? ?source 地址? 通配符掩碼
• 進(jìn)入接口自行判斷是要inboud outbound? ?調(diào)用acl 2000規(guī)則
• acl 3000
• rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www (80)

寫好規(guī)則后，要進(jìn)入接口調(diào)用 規(guī)則表2000

3.acl

建立規(guī)則

進(jìn)入調(diào)用規(guī)則

4.NAT地址轉(zhuǎn)換協(xié)議工作原理

• 數(shù)據(jù)從內(nèi)網(wǎng)去往外網(wǎng)會將源內(nèi)網(wǎng)地址轉(zhuǎn)換成外網(wǎng)地址
• 數(shù)據(jù)從外網(wǎng)回來會將外網(wǎng)目的地址轉(zhuǎn)換成內(nèi)網(wǎng)地址

5.靜態(tài)NAT

一個外網(wǎng)地址對應(yīng)一個內(nèi)網(wǎng)地址

6.動態(tài)NAT

建立一個外網(wǎng)地址池，當(dāng)多臺內(nèi)網(wǎng)去訪問外網(wǎng)時，從池子里獲取一個未被使用的地址；在池子里已經(jīng)被使用的地址，會被打上已使用標(biāo)簽，不會再次分配給其他主機(jī)。

7.NAPT

（1）NAT Server：將內(nèi)網(wǎng)服務(wù)的端口映射成外網(wǎng)服務(wù)的端口

（2）Easy-IP：將端口和地址一起轉(zhuǎn)換

總結(jié)

以上是生活随笔為你收集整理的ACL和NAT的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。