饭店网站模板,旅游网站建设的功能,怎么接网站开发外包,用html制作个人网站源代码目录
一、ACL
1.ACL
2.ACL的两种应用匹配机制
3.ACL的基本类型
4.ACL命令操作
5.ACL实验#xff1a;
4.ACL的应用原则#xff1a;
5.匹配原则#xff1a;
二、NAT
1.NAT的原理及作用#xff1a;
2.NAT分类
3.NAT配置
三、EASY-ip实验
四、NATPT
五、通配符 …目录
一、ACL
1.ACL
2.ACL的两种应用匹配机制
3.ACL的基本类型
4.ACL命令操作
5.ACL实验
4.ACL的应用原则
5.匹配原则
二、NAT
1.NAT的原理及作用
2.NAT分类
3.NAT配置
三、EASY-ip实验
四、NATPT
五、通配符 一、ACL
1.ACL
ACL是访问控制列表。
作用过滤流量然后匹配规则是否允许通过通过或者拒绝。例如在同一家公司内boss电脑可以访问任何部门而每个部门的人只能访问自己的部门就要通过acl进行网络设置。
2.ACL的两种应用匹配机制
①应用在端口的ACL用于过滤数据包。
②应用在路由协议匹配对应的路由协议。
ACL匹配机制规则自上而下依次匹配一旦匹配就不再向下例如第一条允许所有的1.1.1.0 24段通过那么第二条拒绝1.1.1.2 32访问的规则就不会再生效。
3.ACL的基本类型
①基本acl2000-2999只能根据数据包中的源ip对数据包进行处理。
②高级acl3000-3999可以根据数据包中的五元组源IP地址目的ip地址源mac地址目的mac地址协议端口号对数据包进行处理。
③二层acl4000-4999mac vlan-id
4.ACL命令操作
①ACL 2000 ## 创建基础ACL
②rule premit denysource 1.1.1.1 ## 添加规则允许或者拒绝 源地址为1.1.1.1的地址
③int g0/0/1 ## 进入要配置的端口
④traffic-filter ouboundinbound ACL 2000 ##在入口或者出口调用acl2000的规则。
5.ACL实验
1.实验目的
在同一局域网中pc1不能访问server而pc2可以访问server。
2.实验拓扑 3.实验步骤
①先配置pc1pc2的IP地址以及子网掩码和网关。如下图 ②配置路由器接口并且检测pc1pc2是否可以访问server如下图。
huawei undo terminal monitor #关闭用户视图提示
huawei system-view #进入系统视图
[huawei] undo infor-center enable #关闭系统视图提示
[huawei] int g0/0/0 #进入接口g/0/0/0
[huawei-g0/0/0] ip address 192.168.1.254 24 #为接口配置ip地址
[huawei-g0/0/0] int g0/0/1 #进入接口g0/0/1
[huawei-g0/0/1] ip address 192.168.3.254 24 #为接口配置ip地址 能ping通则说明pc1与pc2可以与server通信。
③然后在路由器上设置ACL2000并在g0/0/1口设置规则不允许192.168.1.1访问192.168.3.1服务器配置完成后PC1不能访问serverpc2可以正常访问服务器。如下图
[huawei]ACL 2000 ##创建基础级ACL 2000
[huawei]rule deny source 192.168.1.1 0 ##添加规则拒绝源ip为192.168.1.1
[huawei]int g0/0/1 ##进入 g0/0/1接口
[huawei-g0/0/1] traffic-filter outbound acl 2000 ##为出端口配置ACL 2000规则 ④拓展
高级ACLacl3000
rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www80
不让192.168.1.1 去访问192.168.2.1的tcp 80端口
int g0/0/1
undo traffic-filter outbound
traffic-filter outbound acl 3000
4.ACL的应用原则
基本ACL尽量用在靠近目的点
高级ACL尽量用在靠近源自己的地方
5.匹配原则
1.一个接口的同一个方向只能调用一个acl
2.一个ACL里面可以有多个rule规则按照规则id从小到大排序从上往下依次执行
3.数据包一旦被某rule匹配就不再继续向下匹配
4.用来做数据包访问控制时默认隐含放过所有设备
二、NAT
1.NAT的原理及作用
作用通过网络地址转换实现内网地址和公网地址的相互访问
原理从内网出去时将内网源地址转换为公网ip地址从公网回来时将目的公网地址改为目的私网地址。
2.NAT分类
①静态nat私网地址和公网地址一对一映射局限性就在于一个私网需要一个公网地址需要的公网地址较多。
②动态nat将公网ip划出一个公网ip地址池当内网地址访问外网时将随机分配一个ip访问完成后在收回公网ip。
3.NAT配置
3.1静态nat配置
①进入企业出口路由器static nat enable 开启静态nat
②nat static global 1.1.1.1 inside 2.2.2.2将静态nat私网地址1.1.1.1对应公网地址2.2.2.2
3.2动态nat配置
①nat address-group 1 200.1.1.10 200.1.1.15 建立动态nat地址池
②acl number 2000 创建acl2000
③rule 5 permit source 192.168.1.0 0.0.0.255 设定规则来自192.168.1.0网段的用户允许通过
④int g0/0/01 进入端口g0/0/1
⑤nat outbound 2000 address-group 1 on-pat 将规则添加在出口
三、EASY-ip实验
①实验目的
PC1PC2通过企业路由器后可以访问外网运营商路由器不可操作只能在企业的出口路由器做nat使得PC1PC2通过出口路由器时转化为出口地址且端口号不一样来识别是谁发送的数据。
②实验拓扑 ③实验步骤
1.配置PC1PC2地址子网掩码和网关如下图。 2.配置企业路由器和移动运营商路由器接口地址
AR1
Huaweiundo terminal monitor ##关闭用户视图提示
Huaweisystem-view ##进入系统视图
[Huawei]sysname AR1 ##修改路由器名称
[AR1]interface g0/0/0 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 ##接口配置ip地址
[AR1-GigabitEthernet0/0/0]interface g0/0/1 ## 进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]ip address 200.1.1.1 24 ##接口配置ip地址
AR2
Huaweiundo terminal monitor ##关闭用户视图提示
Huaweisystem-view ##进入系统视图
[Huawei]sysname AR2 ##修改路由器名称
[AR1]interface g0/0/0 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 200.1.1.254 24 ##接口配置ip地址 3.然后在企业路由器AR1上添加ACL规则并在出口上应用NAT以此达到PC1PC2到达出口路由器地址nat成出口地址的目的访问外网。
[Huawei]ACL 2000 ##创建初级ACL 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##添加规则允许源地址为192.168.1.0的用户通过0.0.0.255为通配符掩码可以暂时理解为反掩码用255.255.255.255减去子网掩码即可
[Huawei-acl-basic-2000]quit ##返回系统视图
[Huawei]int g0/0/1 ##进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 ##在此接口配置出口nat并调用acl 200规则
4.然后进入PC1PC2ping200.1.1.254来查看是否可以通过nat来访问外网。 5.通过wireshark抓包来查看pc1访问200.1.1.254的地址和端口号是否成出口地址200.1.1.1.
①在pc1上进行ping200.1.1.1254 -t
②然后再进入出口路由器使用命令等待查看端口是多少命令为display nat session all 可以查看 出源ip是多选经过nat后的源IP是多少以及此次连接的端口。端口号是此次PC1用于nat公网地址的标志外网数据回包时出口路由器也是通过这个端口号判断数据要发给谁。
③右键出口路由器选择抓包选择出口本拓扑是g0/0/1。 ④进入wireshark后点击一个包查看ICMP协议中的Identifier(LE)后面跟着的就是此次ip转换的内网端口号由于长ping是一来一回则完成一次连接没有长时间建立连接所以随便点一个包查看是端口号可能不一样。此为实验环境测试导致若是长时间访问一个网页不关闭则端口号会被长期占用抓包时端口号就不会改变。
四、NATPT
端口号映射
NAT Server----内网服务器对外提供服务针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口 程序代码
配置好ip地址企业出口路由器需要配置默认路由在企业出口路由器上 的g0/0/1 口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable
五、通配符
1.子网掩码 1 主机0 配置ip时使用 连续的1表示网络位
反子网掩码 0 主机1 路由协议 连续的0表示网络位
通配符可以10穿插0可变1不可变
2.通配符例题
答案AD
解析
172.16.1.1 0.0.0.0意思就是172.16.1.1一位都不可变172.16.0.0 0.255.0.0就是第二位可变。苏所以选AD
3.EASY-IP使用一个公网地址可以让所有人都上网连端口号一起一同转发便于回包。
