一、ACL原理和作用
1.1子網掩碼與反掩碼
子網掩碼:連續的1代表網路位,連續的0代表主機位,0和1中間不能穿插(比如255.255.255.0)
反掩碼:連續的0代表網路位,連續的1代表主機位(例如:0.0.0.255)
通配符掩碼;1代表可變,0代表不可變,中間0,1可以穿插,通配符越精確越好
1.2ACL的原理
ACL概念:是由一系列permit或deny陳述句組成的,有序規則的串列
匹配順序:自上而下一旦匹配,立即執行,不再匹配,范圍小的放上面
1.3ACL的作用
ACL作用:匹配流量,查看報文中的五元組,放行或者拒絕流量
五元組:源目IP,源目mac,埠號協議
二、ACL兩種應用
(1)應用在介面的ACL:過濾資料包(五元組)
(2)應用在路由協議上:匹配相應的路由條目
(3)NAT、IPSECVPN、QOS:匹配感興趣的資料流(匹配上我設定的資料流)
三、通配符掩碼計算
通配符:通配符是一個32位元長度的數值,用于指示IP地址中,哪些位元位需要嚴格匹配,哪些位元位無需匹配
通配符:通常采用類似網路掩碼的點分十進制形式表示,但是含義與網路掩碼完全不同
例1:192.168.1.1/24和192.168.1.2/24
第一步:化二進制1100 0000.1010 1000.0000 0001.0000 0001(192.168.1.1)
1100 0000.1010 1000.0000 0001.00000010(192.168.1.2)
第二步:根據24位得0000 0000.0000 0000.0000 0000.0000 0011
第三步:化成十進制0.0.0.3(通配符掩碼)
例2:192.168.1.0/24
第一步:化二進制1100 0000.1010 1000.0000 0001.0000 0000
第二部:根據24位得0000 0000.0000 0000.0000 0000.00000001
......................................................................
0000 0000.0000 0000.0000 0000.1111 1111
第三步:化成十進制0.0.0.255(通配符掩碼)
例3:192.168.1.1/24和192.168.1.64/24(算1-64通配符掩碼)
第一步:化二進制1100 0000.1010 1000.0000 0001.0000 0001(192.168.1.1)
1100 0000.1010 1000.0000 0001.0100 0000(192.168.1.64)
第二步:更具24位得0000 0000.0000 0000.0000 0000.0111 1111(這表示的是1-127范圍的通配符掩碼,而我們需要的是1-64,所以要注意此處的坑,我們可以分兩步寫此處的掩碼)
第三步:化十進制0.0.0.0011 1111=0.0.0.63(表示1-63的通配符掩碼)
192.168.1.64(64可單獨寫一個IP地址)
所以1-64的通配符掩碼就是0.0.0.63+192.168.1.64
四、ACL分類與標識
基本ACL:2000-2999,僅使用報文的源IP地址,分片資訊和生效時間段資訊來定義規則,比較模糊,盡量用在靠近目的的地點
高級ACL:3000-3999,可使用IPV4的五元組生效時間段等定義規則,比較精確,盡量靠在源目的的地點
ACL訪問控制類表步驟:
第一步:建立規則
第二步:判斷
第三步:進入介面,呼叫規則(inbound表示進站,outbound表示出站)
五、NAT的作用和四種模式
NAT作用:用于實作私有網路和公有網路之間的互訪
從內網到外網:資料包的源IP由私網IP轉換成公網IP
從外網到內網:資料包的目的Ip由公網IP轉成私網Ip
四種模式:
A:靜態NAT:一個外網地址對應一個內網地址
B:動態NAT:建立一個外網地址池,當多臺內網去訪問外網時,從池子里獲取一個未被使用的地址,在池子中已被使用的地址,會被打上標簽,不再分給其他主機
C:NAT Server:將內網服務埠映射成外網服務的埠
D:Easy-IP:將埠和地址一起轉換
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/509126.html
標籤:其他