ACL和NAT
- 2022 年 9 月 20 日
- 筆記
1 ACL
1.1 ACL的作用
1).用來對數據包做訪問控制(丟棄或者放棄)
2).結合其他協議,用來匹配範圍
1.2 ACL的工作原理
當數據包從介面經過時,由於介面啟用了ACL,此時路由器會對報文進行檢,然後做出相應的處理。
1.3 ACL種類
基本ACL(2000-2999):只能匹配源IP地址。
高級ACL(3000-3999):可以匹配源IP、目標IP、源埠、目標埠等三層和四層的欄位和協議。
二層ACL(4000-4999):根據數據包的源MAC地址、目的MAC地址、802.1q優先順序、二層協議類型等二層資訊制定規則。
1.4 ACL(訪問控制列表)的應用原則:
基本ACL,盡量用在靠近目的點
高級ACL,盡量用在靠近源的地方(可以保護頻寬和其他資源)
1)、一個介面的同一個方向,只能調用一個ACL
2)、一個ACL裡面可以有多個rule規則,按照規則ID從小到大排序,從上往下依次執行
3)、數據包一旦被某rule匹配,就不再繼續向下匹配
4)、用來做數據包訪問控制時,默認隱含放過所有(華為設備)
1.5 ACL的基本配置
二 NAT
2.1 NAT的介紹
NAT(Network Address Translation)是網路地址轉換,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(Internet Protocol)地址出現在Internet上。顧名思義,它是一種把內部私有網路地址(IP地址)翻譯成合法網路IP地址的技術,因此我們可以認為,NAT在一定程度上,能夠有效的解決公網地址不足的問題。
2.1.1 公有網路地址
公有網路地址(以下簡稱公網地址)是指在互聯網上全球唯一的IP地址。2019年11月26日,是人類互聯網時代值得紀念的一天,全球盡43億個IPv4地址已經正式耗盡。
2.2 NAT的工作原理
NAT用來將內網地址和埠轉換成公網地址和埠,建立一個會話,與公網主機進行通訊。
NAT外部的主機無法主動跟位於NAT內部的主機通訊,NAT內部主機想要通訊,必須主動和公網的一個IP通訊,路由器負責建立一個個映射關係,從而實現數據的轉發。
總結:數據包從內網到外網時會轉換源IP地址,由私網地址轉換成公網地址;
數據包從外網到內網時,會轉換目的IP地址,由公網地址轉換成私網地址。
2.3 NAT有三種類型:
1 靜態 NAT ( Static NAT )( 一對一 )。將內部網路的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一直不變的。
2 動態地址 NAT ( Pooled NAT )(多對多)。將內部網路的私有 IP 地址轉換為公用 IP 地址時,IP 地址是不確定,隨機的。所有被授權訪問 Internet 的私有 IP 地址可隨機轉換為任何指定合法的 IP 地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態 NAT 轉換。動態 NAT 是在路由器上配置一個外網 IP 地址池,當內部有電腦需要和外部通訊時,就從地址池裡動態的取出一個外網 IP,並將他們的對應關係綁定到 NAT 表中,通訊結束後,這個外網 IP 才被釋放,可供其他內部 IP 地址轉換使用,這個 DHCP 租約 IP 有相似之處。當 ISP 提供的合法 IP 地址略少於網路內部的電腦數量時。可以採用動態轉換的方式
3 網路地址埠轉換 NAPT(Network Address Port Translation)(Port-Level NAT)( 多對一 )。改變外出數據包的源埠並進行埠轉換,採用埠多路復用方式。內部網路的所有主機均可共享一個合法外部 IP 地址實現對 Internet 的訪問,可以最大限度地節約 IP 地址資源。同時,也可以隱藏網路內部的所有主機,有效避免來自 Internet 的攻擊。因此,目前網路中應用最多的就是 PAT 規則。這是最常用的 NAT 技術,也是 IPv4 能夠維持到今天的最重要的原因之一,它提供了一種多對一的方式,對多個內網 IP 地址,邊界路由可以給他們分配一個外網 IP,利用這個外網 IP 的不同埠和外部進行通訊。NAPT 與 動態NAT 不同,它將內部連接映射到外部網路中的一個單獨的 IP 地址上,同時在該地址上加上一個由 NAT 設備選定的埠號。
NAPT 是使用最普遍的一種轉換方式,在 HomeGW 中也主要使用該方式。它又包含兩種轉換方式:SNAT和DNAT。 (1) 源NAT(Source NAT,SNAT):修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網路之前完成,數據包偽裝就是一具SNAT的例子。 (2) 目的NAT(Destination NAT,DNAT):修改數據包的目的地址。Destination NAT剛好與SNAT相反,它是改變第一個數據懈的目的地地址,如平衡負載、埠轉發和透明代理就是屬於DNAT。
2.4 NAT功能
功能:NAT不僅能解決IP地址不足的問題,而且還能夠有效地避免來自網路外部的入侵,隱藏並保護網路內部的電腦。
1.寬頻分享:這是NAT主機最大的功能;
2.安全防護:NAT之內的pc聯機到乙太網上面時,它所顯示的IP是NAT主機的公網IP,所以client端的pc就具有一定程度的安全,外界在進行porlscan(埠掃描)的時候,就偵測不到源client端的pc。
優點:節省公有合法的IP地址,處理地址重疊,增強靈活性,安全性;
缺點:延遲增大,配置和維護的複雜性,不支援某些應用(比如VPN)
三、總結:
1.NAT用於實現私有網路和公有網路之間的互訪
2.私有網路和公有網路介紹
3.NAT的工作原理和功能
4.靜態NAT和動態NAT以及PAT埠多路復用
