第6章2ACL NAT
6实验六 ACL的配置
实验六 ACL的配置实验目的:1、学习使用ACL(访问控制列表)来控制网络访问;2、熟练掌握标准ACL、扩展ACL、命名ACL的配置及调试。
3、使用标准 ACL 控制对 vty 线路的访问实验知识要点:一、ACL简介访问控制列表简称为ACL( Access Control Lists ),它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
简而言之,访问控制列表是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。
二、ACL实现的功能1、保护内部网络免受来自Internet的非法入侵;2、拒绝或允许流入(或流出)的数据流通过特定的接口;3、限制对虚拟终端端口的访问。
4、流量匹配NAT三、ACL工作流程五、ACL指令1、ACL的执行顺序。
当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令从上至下的顺序依次检查数据包是否满足某一个指令条件。
直到找到一条可以匹配的语句,然后根据定义的规则做出相应的操作(拒绝或允许),如果所有的条件判断语句都检测完毕,仍没有匹配的条件语句,那么,该数据包将视为被拒绝或被丢弃(在ACL中,最后强加一条拒绝全部流量的暗含语句)。
所以,ACL中各语句的放置顺序很重要,相同的规则,顺序不同,将会出现不同的结果。
当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。
2、ACL的作用方向在每一个路由器的每一个端口,可以为每一个支持的Routed Protocols创建一个 ACL。
对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。
每个端口每个协议(IP、IPX、APPLETALK)每个方向(outbound、inbound)只能创建一个ACL。
3、ACL的放置原则扩展ACL尽量靠近源端;标准ACL尽量靠近目的端。
ACL配置
第1章ACL简介1.1 ACL概述网络设备为了过滤数据,需要设置一系列匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,根据预先设定的策略允许或禁止相应的数据包通过。
ACL(Access Control List)可用于实现这些功能。
ACL(访问控制列表)是一种对经过网络设备的数据流进行判断、分类和过滤的方法。
通常我们使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。
一个ACL中可以包含一条或多条针对特定类型数据包的规则,这些规则告诉网络设备,对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。
由ACL定义的数据包匹配规则,还可以被其它需要对流量进行区分的场合引用,如防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。
1.2 ACL分类访问控制列表分为多种类型:1.基本ACL:只对源IP地址进行匹配。
2.扩展ACL:对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP(DiffServ CodePoint)、ToS、Precedence进行匹配。
3.二层ACL:对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p 优先级值进行匹配。
4.混合ACL:对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。
5.用户自定义ACL:对VLAN TAG的个数和偏移字节进行匹配。
1.3 ACL工作流程下面以路由器为例说明ACL的基本工作过程。
制定的,则图1.3-2 应用于入接口的ACL当ACL应用在入接口上时,工作流程如下:当路由器的接口接收到一个数据包时,首先会检查访问控制列表,如果执行控制列表中有拒绝和允许的操作,则被拒绝的数据包将会被丢弃,允许的数据包进入路由选择状态。
路由器交换机配置任务6.2动态NAT和NAPT
(1)设置内部转换接口。 r1(config)#interface f0/0 r1(config-if)#ip nat inside r1(config-if)#exit (2)设置外部转换接口。 r1(config)#interface s0/0/0 r1(config-if)#ip nat outside r1(config-if)#exit (3)定义ACL。
【实训目的】
通过本实训,理解网络地址转换的原理和技术,掌握动态NAT和NAPT 的 配置和测试。
【实训任务】
1.根据拓扑图连接网络设备,构建实训网络。 2.配置动态NAT,实现使用私有IP访问因特网。 3.验证NAT转化结果。
三.动态NAT配置示例
内网中的计算机需要访问外网,分配的公网IP为,请配置动态 NAT。
五.NAPT
动态NAT的一种实现形式,利用不同端口号将多个内部IP地址转换为一 个外部IP地址。
六.NAPT的配置
访问公网的主机数多于拥有的公有IP数量时,我们就需要配置NAPT。其 配置过程和动态NAT相似,只是在最后应用NAT时添加选项overload。 即: Router(config)#ip nat inside source list 编号 pool 地址池名 overload
注意:
配置NAPT转换中,必须使用overload关键字,这样路由器才会将 源端口也进行转换,已达到地址超载的目的。如果不指定overload内网中的计算机需要访问外网,分配的公网IP为,请配置NAPT。
配置过程和NAT相似,仅须在应用NAPT时增加overload选项。
r1(config)#ip nat inside source list 1 pool internet overload
NAT+ACL+PPP
通过配置静态NAT,把R1内pc1的内网ip地址192.168.1.1转换为公网ip 192.168.2.6。
r1(config)#int f1/0r1(config-if)#ip addr 192.168.1.2 255.255.255.0r1(config-if)#no shutr1(config-if)#ip nat inside 指定内部接口r1(config-if)#int s0/0r1(config-if)#ip addr 192.168.2.1 255.255.255.0r1(config-if)#ip nat outside 指定外部接口r1(config-if)#exitr1(config)#ip nat inside source static 192.168.1.1 192.168.2.6建立两个ip地址之间的静态映射动态NAT把R1内的内网ip地址(多个),转换为公网ip。
公网ip地址池为(192.168.2.11------192.168.2.14)r1(config)#int f1/0r1(config-if)#ip addr 192.168.1.2 255.255.255.0r1(config-if)#ip nat inside 指定内部接口r1(config-if)#no shutr1(config-if)#exitr1(config)#int s0/0r1(config-if)#ip addr 192.168.2.1 255.255.255.0r1(config-if)#ip nat outside 指定外部接口r1(config-if)#no shutr1(config-if)#exitr1(config)#ip nat pool name1 192.168.2.11 192.168.2.14 netmask 255.255.255.0定义全局地址池r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255通过标准访问控制列表定义内部网络的上网条件r1(config)#ip nat inside source list 1 pool name1建立全局地址池和标准访问控制列表之间的映射关系再配个静态路由:0.0.0.0 0.0.0.0 serial0/2ACLR1(config)#access-list 100 deny ip 12.0.0.0 0.0.0.255 11.0.0.0 0.0.0.25512的网络不能访问11的网络R1(config)#access-list 100 permit ip any anyR1(config)#intface fa 0/0R1(config)#ip access-group 100 in/out(根据情况)R1(config)#access-list 1 deny host 192.178.0.1 拒绝这个主机访问R1(config)#access-list 1 permit any基于时间的ACLRouter# config tRouter(config)# interface fa0/0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1∶00 1 December 2000 end 24∶00 31 December 2000 periodic Saturday 7∶00 to Sunday 22∶002000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet。
S7 ACL与NAT技术(网络技术之路由)
哈尔滨工业大学华德应用技术学院计算机应用技术系
王家宁
验证访问控制列表
Show access-list
Show access-list 110 Show ip access-list
Show ip interface
Show run
哈尔滨工业大学华德应用技术学院计算机应用技术系
理解NAT的工作原理 掌握NAT的配制方法
哈尔滨工业大学华德应用技术学院计算机应用技术系
王家宁
通配符
用来指定控制的主机范围
0代表需要精确匹配 255代表可以是任意值 172.16.10.0
0.0.0.255 每个块大小必须从0或一个块大小的倍数开始 通配符通常是小于块大小的数 Any = 0.0.0.0 255.255.255.255
哈尔滨工业大学华德应用技术学院计算机应用技术系
王家宁
比较原理
哈尔滨工业大学华德应用技术学院计算机应用技术系
王家宁
分类:
标准访问列表 基于数据源地址进行过滤 扩展访问列表 3、4层中的所有内容 命名访问列表 输入访问列表(路由前)
输出访问列表(路由后)
哈尔滨工业大学华德应用技术学院计算机应用技术系
哈尔滨工业大学华德应用技术学院计算机应用技术系
王家宁
其他访问控制列表
在该拓扑结构中, CBAC被配置在内部接 口E0上,允许外部数据 流访问DMZ(连接在接口 E1上的军事区)中的服务 (如DNS服务),同时防 止指定的协议数据流入 内部网络,除非这些数 据流是由内部网络所发 起的会话的一部分
哈尔滨工业大学华德应用技术学院计算机应用技术系
哈尔滨工业大学华德应用技术学院计算机应用技术系
CCNA中文笔记第6章2层交换
CCNA中文笔记第6章:2层交换作者:红头发Chapter6 Layer 2 SwitchingSwitching Services路由协议有在阻止层3的循环的过程.但是假如在你的switches间有冗余的物理连接,路由协议并不能阻止层2循环的发生,这就必须依靠生成树协议(Spanning Tree Protocol,STP)不像bridges使用软件来创建和管理MAC地址过滤表,switches使用ASICs来创建和管理MAC地址表,可以把switches想象成多端口的bridges层2的switches和bridges快于层3的router因为它们不花费额外的时间字查看层3包头信息,相反,它们查看帧的硬件地址然后决定是转发还是丢弃.每个端口为1个冲突域,所有的端口仍然处于1个大的广播域里层2交换提供:1.基于硬件的桥接(ASIC)2.线速(wire speed)3.低延时(latency)4.低耗费Bridging vs. LAN Switching桥接和层2交换的一些区别和相似的地方:1.bridges基于软件,switches基于硬件2.switches和看作多端口的bridges3.bridges在每个bridge上只有1个生成树实例,而switches可以有很多实例4.switches的端口远多于bridges5.两者均转发层2广播6.两者均通过检查收到的帧的源MAC地址来学习7.两者均根据层2地址来做转发决定Three Switch Function at Layer 2层2交换的一些功能:1.地址学习(address learning):通过查看帧的源MAC地址来加进1个叫做转发/过滤表的MAC地址数据库里2.转发/过滤决定(forward/filter decisions):当1个接口收到1个帧的时候,switch在MAC地址数据库里查看目标MAC地址和出口接口,然后转发到符合条件的那个目标端口去3.循环避免(loop avoidance):假如有冗余的连接,可能会造成循环的产生,STP就用来破坏这些循环Spanning Tree Protocol(STP)Spanning Tree TermsDigital Equipment Coporation(DEC)在被收购和重命名为Compaq的时候,创建了原始的STP,之后IEEE创建了自己的STP叫做802.1D版本的STP.和之前的DEC的STP不兼容.STP 的主要任务是防止层2的循环,STP使用生成树算法(spanning-tree algorithm,STA)来创建个拓扑数据库,然后查找出冗余连接并破坏它。
实验七 NAT和ACL配置
实验七 NAT和ACL配置实验1:标准ACL1.实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试2.拓扑结构本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。
整个网络配置RIP 保证IP 的连通性。
3.实验步骤(1)步骤1:配置路由器R1R1(config)#router ripR1(config-router)#network 10.1.1.0R1(config-router)#network 172.16.1.0R1(config-router)#network 192.168.12.0(2)步骤2:配置路由器R2R2(config)#router ripR2(config-router)#network 2.2.2.0R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)#interface Serial0/0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password ciscoR2(config-line)#login(3)步骤3:配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0R3(config-router)#network 192.168.23.0【技术要点】(1)ACL 定义好,可以在很多地方应用,接口上应用只是其中之一,其它的常用应用来控制telnet 的访问;(2)访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;(3)路由器不对自身产生的IP 数据包进行过滤;(4)访问控制列表最后一条是隐含的拒绝所有;(5)每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;(6)“access-class”命令只对标准ACL 有效。
ACL原理
ACL原理课程目标:掌握ACL概念及其作用掌握ACL分类,特点和应用要求i目录第1章访问控制列表(ACL)原理 (1)1.1 ACL 原理 (1)1.1.1 ACL 概念和作用 (1)1.1.2 ACL 工作原理 (2)1.2 ACL 规则 (5)1.3 在什么地方配置ACL (6)第1章访问控制列表(ACL)原理知识点ACL 概念。
ACL 分类。
ACL 工作流程。
ACL 判别标准。
标准ACL 和扩展ACL 的比较。
1.1ACL原理1.1.1ACL概念和作用1.1.1.1什么是ACL随着网络规模和网络中的流量不断扩大,网络管理员面临一个问题:如何在保证合法访问的同时,拒绝非法访问。
这就需要对路由器转发的数据包作出区分,哪些是合法的流量,哪些是非法的流量,通过这种区分来对数据包进行过滤并达到有效控制的目的。
这种包过滤技术是在路由器上实现防火墙的一种主要方式,而实现包过滤技术最核心内容就是使用访问控制列表。
1.1.1.2ACL的作用ACL(访问控制列表)就是一种对经过路由器的数据流进行判断、分类和过滤的方法。
常见的ACL的应用是将ACL应用到接口上。
其主要作用是根据数据包与数据段的特征来进行判断,决定是否允许数据包通过路由器转发,其主要目的是对数据流量进行管理和控制。
我们还常使用ACL实现策略路由和特殊流量的控制。
在一个ACL中可以包含一条或者多条特定类型的IP数据报的规则。
ACL可以简单到只包括一条规则,也可以是复杂到包括不少规则。
通过多条规则来定义与规则中相匹配的数据分组。
ACL作为一个通用的数据流量的判别标准还可以和其他技术配合,场合:防火墙、QOS与队列技术、策略路由、数据速率限制、应用在不同的路由策略、NAT等。
1ACL 原理1.1.1.3ACL分类访问控制列表分为两种类型:1 .标准ACL只针对数据包的源地址信息作为过滤的标准而不能基于协议或者应用来进行过滤。
即只能根据数据包是从那里来的来进行控制,而不能基于数据包的协议类型及应用来对其进行控制。
NAT和ACL试验
常用命令
• 交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继 switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式
常用命令
• 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关 switch#dir Flash: ;查看闪存
常用命令
• 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关 switch#dir Flash: ;查看闪存
华为数通考试试卷(ACL原理&NAT原理)20121025(含答案)
华为数通考试试卷(ACL原理&NAT原理)考试时间60分钟(共100分)一、填空题(共7空,每空2分、共计14分)1.一条ACL可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。
2.ACL定义规则的5个元素:源地址、目的地址、协议号、源端口号、目的端口号。
二、判断题(共5题,每题2分、共计10分)1.ACL在定义规则时通过反掩码来分辨匹配的地址范围(√)2.NA T可以解决的问题是增强数据传输的安全性(×)3.NA T可以暂时缓解IPv4地址紧张的问题(√)4.访问控制列表ACL既可以控制路由信息也可以过滤数据包(√)5.ACL本身是为了访问控制,因为附带了deny和permit两个动作(√)三、选择题(共8题,每题2分、共计16分)1.【单选】NAT在系统中的位置属于哪一层(C)A.物理层B.数据链路层C.网络层D.传输层2.【多选】NAT的基本工作方式有哪些(ACD)A.一对一B.一对多C.多对一D.多对多3.【单选】规则冲突时,若匹配顺序为auto时,哪条规则会被优先考虑(A)。
A.描述的地址范围越小的规则,将会优先考虑B.描述的地址范围越大的规则,将会优先考虑C.先配置的规则会被优先考虑D.后配置的规则会被优先考虑4.【单选】rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equalwww,这条规则的表示什么意思(C)。
A.禁止129.9.0.0/16访问202.38.160.0/24的请求B.禁止129.9.0.0/16访问202.38.160.0/24的TCP请求C.禁止129.9.0.0/16访问202.38.160.0/24端口号等于80的TCP请求D.以上都不对5.【单选】标准ACL只使用(C)定义规则。