網絡地址轉換(NAT,Network Address Translation)屬接入廣域網(WAN)技術,是一種將私有(保留)地址轉化為合法IP地址的轉換技術,它被廣泛應用於各種類型Internet接入方式和各種類型的網絡中。原因很簡單,NAT不僅完美地解決了lP地址不足的問題,而且還能夠有效地避免來自網絡外部的攻擊,隱藏並保護網絡內部的計算機。
NAT的實現方式有三種,即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路複用OverLoad。
靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。
動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時,IP地址是不確定的,是隨機的,所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。可以採用動態轉換的方式。
端口多路複用(Port address Translation,PAT)是指改變外出數據包的源端口並進行端口轉換,即端口地址轉換(PAT,Port Address Translation).採用端口多路複用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自internet的攻擊。因此,目前網絡中應用最多的就是端口多路複用方式。
NAT實驗:
按照拓撲我們首先把基本配置完成如下:
出口路由器OR配置如下:
交換機配置:
內部子接口配置NAT
配置NAT外部接口
配置靜態NAT
出口路由器查看NAT表項
下面演示PAT端口複用NAT技術
當PC終端訪問互聯網在靜態NAT和PAT同時存在的配置情況下,靜態NAT優先PAT生效。
考慮到信息安全,企業內部需要做一些安全策略,拒絕或運行一些數據之間的訪問,ACL應運而生。
目前有三種主要的ACL:標準ACL、擴展ACL及命名ACL。其他的還有標準MAC ACL、時間控制ACL、以太協議 ACL 、IPv6 ACL等。
標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號,擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號。
標準ACL可以阻止來自某一網絡的所有通信流量,或者允許來自某一特定網絡的所有通信流量,或者拒絕某一協議簇(比如IP)的所有通信流量。
擴展ACL比標準ACL提供了更廣泛的控制範圍。例如,網絡管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那麼,他可以使用擴展ACL來達到目的,標準ACL不能控制這麼精確。
配置ACL,不允許10.1.10.0 網段到10.1.20.1地址的ping 並掛接接口in方向生效
ACL掛接接口之前可以ping通,掛接接口後生效
為方便演示,禁止路由器接口對交換機telnet 使用VTY下面與ACl關聯方式,此方式在CCIE考試會用到!
ACl可以關聯時間簡單說明下:
歡迎大家關注和轉發,謝謝!
閱讀更多 專注分享網絡技術 的文章
