文章目录
一、ACL(访问控制列表)
1.ACL技术概述
- ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类
- ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。
2.ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
规则编号与步长
规则编号:一个ACL中每一条规则都有一个相应的编号。
步长:系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5。
通配符
当进行IP地址匹配的时候,后面会跟着32位掩码位,这32位称为通配符
通配符,也是点分十进制格式,换算成二进制后,“0”表示“严格匹配”,“1”表示“无需匹配”
例子:匹配192.168.1.0/24网段中的奇数IP地址,通配符该怎么写呢?
奇数IP地址都有:192.168.1.1、192.168.1.5、192.168.1.11
后八位写成二进制:192.168.1.00000001、192.168.1.00000101、
192.168.1.00001011
可以看出共同点:最后8位的高7位是任意值,最低位固定为1,因此答案是:192.168.1.1 0.0.0.254(0.0.0.11111110)
通配符有个特点:通配符中的1或者0是可以不连续的。
两个特殊的通配符:通配符全为0来匹配ip地址,表示精确匹配某个ip地址。当通配符全为1时,表示匹配所有地址。
3.ACL的分类
- 编号2000-2999—基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999—高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
6.ACL的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
7.匹配规则 - 一个接口的同一个方向,只能调用一个acl
- 一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
- 数据包一旦被某rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认放过所有(华为设备)
二、NAT(网络地址转换)
1.NAT产生背景
随着互联网网用户的增多,ipv4的公有地址资源越发短缺。为解决该问题,使用过渡技术解决ipv4公有地址短缺就显得尤为重要。
2.技术原理
对ip数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备。典型应用场景:在私有网络内部使用私有地址,出口部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址转换成特定的公有地址,而对于“从外到内的流量”,则对数据包的目的地址进行转换。
3.静态NAT原理
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访:私有地址访问公有网络时,会被转换成对应的公有的地址。同时公有网络访问内部玩过时,携带的公有地址也会被转换成对应的私有地址。
4.动态NAT原理
动态NAT:静态NAT严格地一对一进行地址映射,这就导致公有地址一直处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“in use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“not use”
5.NAPT原理
NAPT(网络地址端口转换):从地址池中选择地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址1:n的映射关系,可以有效提高公有地址利用率。
6.Easy IP
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
7.NAT Server
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。