温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

网络中权限的设置(acl)和ANT公网私网的转换介绍

发布时间:2020-04-02 01:22:30 来源:网络 阅读:708 作者:凌许冬 栏目:安全技术

ACL:access control list---访问控制列表
作用:控制数据的访问,互通;
实现:
         1.定义规则
         2.定义动作:permit  允许    ;     deny   拒绝
分类:
1.标准ACL:仅关注的源IP地址;
2.扩展ACL:关注源IP地址和目标IP地址,还可以关注IP头部后面的内容;
表示:
1.id  通过不同的数字,表示不同的ACL;
2.名字--便于人们对ACL的配置与管理;

配置:
1.创建ACL;
access-list  {ID}  permit/deny  x.x.x.x  wildcard-bits
          ID范围:1-99,表示标准ACL
          ID范围:100-199,表示扩展ACL
          x.x.x.x : 表示的是一个IP网络范围或者一个IP地址
          wildcard-bits:通配符#0和1是允许交叉出现的; #通配符中的0,表示的是匹配的位;#通配符中的1,表示的是不匹配的位;
           例子:access-list  1  permit  192.168.1.0  0.0.0.255
            1、首先分析ACL的类型;
             2、其次分析ACL的匹配条件 -首先分析“通配符”,关注通配符中0所对应的IP地址中的位-提取源IP地址中,与通配符0所对应的位,-将提取出的 位,与ACL中的条件进行比对;如果相同,则表示匹配成功,执行“动作”如果不同,则表示匹配失败,继续查找下一条目/匹配条件
             3、最后确认“处理动作”-permit , 允许-deny   , 拒绝

2.调用ACL:
#确定在正确的设备上、
#在正确的端口上、
#在正确的方向上
interface fas0/0
ip access-group 1 in 

3、验证与测试
PC-1
                ping 192.168.1.254 --> not OK 
注意:
任何一个ACL后面,都有一个隐含的 deny any ;
当 一个 ACL 中有多个条目时,对每个条件匹配时,是按照序列号从小到大依次进行检查、培训的;
标准ACL:应该调用在距离目标近的位置;
扩展ACL:应该调用在距离源近的位置;

工作中常用的ACL配置方式 - 命名的 ACL :

创建ACL-
    GW(config)# ip access-list standard Deny-Ping
    GW(config-std-nacl)# 10 deny  192.168.1.2 0.0.0.0
    GW(config-std-nacl)# 20 permit any  
    GW(config-std-nacl)#exit
调用ACL-    
    GW(config)#interface fas0/0
    GW(config-if)#ip access-group Deny-Ping in

为了匹配更加精确的流量,我们使用“扩展ACL”:
创建ACL-
    ip access-list extended notPing
      10  deny icmp  host 192.168.1.2 host 192.168.1.254
      20  permit  ip any  any  
调用ACL-
    interface fas0/0
      ip access-group notPing in  
验证——  
    ping  
    show  ip access-list   
    show  ip interface fas0/0     
     
    为了使灵魂宁静,一个人每天要做两件他不喜欢的事。      

NAT - network address translation   网络     地址    转换

-作用:将私有地址,转换为公有地址,从而实现Internet访问;
-实施: 在网络的边界设备上,即网关设备/防护墙。
-类型:
1.静态NAT
-私有地址与公有地址的对应条目,是人工配置的;
 -私有地址 : 公有地址 = 1:1
 -不节省IP地址;
2.动态NAT
-私有地址与公有地址的对应条目,是数据流量触发的
@普通的动态NAT
          -私有地址 : 公有地址 = 1:1
          @PAT/PNAT/NPAT : port address translation  
          -PAT中的地址转换条目,是基于数据流自动形成的;
          -私有地址 :公有地址 = N :1
              192.168.1.1:port ---- 100.1.1.1:port1
              192.168.1.2:port ---- 100.1.1.1:port2
-配置(静态NAT):
  1、确定网络界限:内网和外网
            interface gi0/0     //定义该端口为内网链路
               ip nat inside  
            interface gi0/1    //定义该端口为外网链路
               ip nat outside         
       2、配置 地址转换 条目
ip nat inside source static 192.168.1.1 100.1.1.1   
               
       3、验证与测试
           show ip nat translation //查看NAT转换表
           ping x.x.x.x
           debug ip nat // 查看数据包的地址转换过程
 
       
        -配置PAT:
           1、确定网络界限:内网和外网
                 interface gi0/0
                    ip nat inside  
                 interface gi0/1  
                    ip nat outside  
           2、确定感兴趣流量
                access-list 1 permit host 192.168.1.2
                   或者
                access-list 1 permit  192.168.1.0 0.0.0.255
           3、配置转换条目
                ip nat inside source list 1  interface gi0/1  
           4、验证与测试

NAT  的 应用 : 端口映射
 
配置:
1、配置交换机的IP地址和默认网关
        interface vlan 1
           no shutdown  
           ip  address 192.168.1.3 255.255.255.0
           exit
        ip default-gateway  192.168.1.254
 
2、配置边界设备上的“静态NAT”条目
ip nat inside source static tcp 192.168.1.3 23  
                                100.1.1.1   2000
 
3、验证与测试  
    show ip nat translation
    PC-3:
       telnet  100.1.1.1    2000  
 

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI