首页 > 其他分享 >ACL和NAT

ACL和NAT

时间:2024-03-25 14:30:38浏览次数:16  
标签:匹配 公有 地址 NAT IP地址 ACL

文章目录


一、ACL(访问控制列表)

1.ACL技术概述

  • ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类
  • ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。

2.ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
规则编号与步长
规则编号:一个ACL中每一条规则都有一个相应的编号。
步长:系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5。
通配符
当进行IP地址匹配的时候,后面会跟着32位掩码位,这32位称为通配符
通配符,也是点分十进制格式,换算成二进制后,“0”表示“严格匹配”,“1”表示“无需匹配”
例子:匹配192.168.1.0/24网段中的奇数IP地址,通配符该怎么写呢?
奇数IP地址都有:192.168.1.1、192.168.1.5、192.168.1.11
后八位写成二进制:192.168.1.00000001、192.168.1.00000101、
192.168.1.00001011
可以看出共同点:最后8位的高7位是任意值,最低位固定为1,因此答案是:192.168.1.1 0.0.0.254(0.0.0.11111110)
通配符有个特点:通配符中的1或者0是可以不连续的。
两个特殊的通配符:通配符全为0来匹配ip地址,表示精确匹配某个ip地址。当通配符全为1时,表示匹配所有地址。
3.ACL的分类

  • 编号2000-2999—基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999—高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
    6.ACL的应用原则:
    基本ACL:尽量用在靠近目的点
    高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
    7.匹配规则
  • 一个接口的同一个方向,只能调用一个acl
  • 一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
  • 数据包一旦被某rule匹配,就不再继续向下匹配
  • 用来做数据包访问控制时,默认放过所有(华为设备)

二、NAT(网络地址转换)

1.NAT产生背景
随着互联网网用户的增多,ipv4的公有地址资源越发短缺。为解决该问题,使用过渡技术解决ipv4公有地址短缺就显得尤为重要。
2.技术原理
对ip数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备。典型应用场景:在私有网络内部使用私有地址,出口部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址转换成特定的公有地址,而对于“从外到内的流量”,则对数据包的目的地址进行转换。
3.静态NAT原理
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访:私有地址访问公有网络时,会被转换成对应的公有的地址。同时公有网络访问内部玩过时,携带的公有地址也会被转换成对应的私有地址。
4.动态NAT原理
动态NAT:静态NAT严格地一对一进行地址映射,这就导致公有地址一直处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“in use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“not use”
5.NAPT原理
NAPT(网络地址端口转换):从地址池中选择地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址1:n的映射关系,可以有效提高公有地址利用率。
6.Easy IP
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
7.NAT Server
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。

标签:匹配,公有,地址,NAT,IP地址,ACL
From: https://blog.csdn.net/xiaogengtongxu/article/details/137010181

相关文章

  • 思科三层交换环境的管理VLAN+NAT
    接入层交换机配置!version15.0noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameAS!spanning-treemodepvstspanning-treeextendsystem-id!interfaceFastEthernet0/1 switchpor......
  • Nature communications︱东北师范大学王岭团队在放牧草地生态系统功能维持机制的研究中
    草地作为陆地上最大的被管理的生态系统,其强烈地受到人类活动的频繁干扰和利用,家畜放牧是该系统最主要的干扰和利用方式,对草地生物多样性及生态系统功能起重要调控作用。过度放牧等不科学的放牧方式是造成草地退化、生物多样性降低的主要原因,特别是在我国北方,90%的草地因过度放......
  • Oracle-12541无监听或者链接一直未响应
    近日Oracle服务器断电重启后服务挂了,现记录下主要的修复步骤1.检查磁盘空寂是否股够df-h2.服务挂载并启动服务器登录oracle帐号依次输入下列命令:sqlplus /assysdbashutdownimmedicatestartup3.服务启动测试退出linux终端,重新打开登陆sqlplus输入帐号/秘密:system......
  • [20240321]分析FORCE_MATCHING_SIGNATURE重合的奇怪情况.txt
    [20240321]分析FORCE_MATCHING_SIGNATURE重合的奇怪情况.txt--//生产系统遇到1个FORCE_MATCHING_SIGNATURE重合的奇怪现象,一般情况都是相似的sql语句(没有使用绑定变量的sql语句),--//FORCE_MATCHING_SIGNATURE相同。--//注:11g之前如果绑定变量与常量混合,会出现EXACT_MATCHING_SIGN......
  • 7.2 文件的特殊权限:suid sgid sticky和文件扩展权限ACL
    文件的特殊权限:suidsgidsticky和文件扩展权限ACL其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些`特权`特殊权限:7.2.1文件的特殊权限:suidsgidsticky7.2.1.1SUID(setuid设置用户ID):限定:只能设置在二进制可执行......
  • Centos7虚拟机中oracle19c数据库安装
    目录[-]  1. Centos7虚拟机中oracle19c数据库安装1.1. 1.先诀条件1.2. 2.oracle19c安装准备(root用户下执行)1.3. 3.CentOS7上安装oracle19c1.先诀条件 本文在安装oracle19c时,各项oracle配置操作都通过图形界面进行。因此CentOS7系统需要安装gn......
  • A Survey on Large Language Model Hallucination via a Creativity Perspective
    本文是LLM系列文章,针对《ASurveyonLargeLanguageModelHallucinationviaaCreativityPerspective》的翻译。从创造力的角度考察大型语言模型的幻觉摘要1引言2LLM时代的幻觉3幻觉中隐藏的创造力4大型语言模型的创造力5利用LLM幻觉进行创造6结论和未......
  • NAT
    网络地址转化NAT是为了解决ipv4地址不够用而出现的一种技术,ip地址分为私网ip和公网ip公网ip只能在公网上使用,私网ip只能在内网中使用公网上不允许出现私网ip地址,私网ip可以重复在内网使用私有地址范围10.0.0.0/8(10开头的)172.16.0.0/16-172.31.0.0/16(172.16开头的到172.31......
  • Oracle Data Guard Gap日志间隙SCN增量备份恢复案例分享
            本期将为大家分享”OracleDataGuardGap日志间隙SCN增量备份恢复”案例。        欢迎关注“数据库运维之道”公众号,一起学习数据库技术!        关键字:DataGuard日志间隙、RedoGap、ArchiveGap、DataGuardGap、ORA-00308、ORA-2703......
  • native 关键的理解
    使用native关键字说明这个方法是原生函数,也就是这个方法是用C/C++等非Java语言实现的,并且被编译成了DLL,由java去调用。(1)为什么要用native方法java使用起来非常方便,然而有些层次的任务用java实现起来不容易,或者我们对程序的效率很在意时,问题就来了。例如:有时java应......