高级网络应用复习——TCP与UDP,ACL列表, 防火墙,NAT复习与实验(带命令)
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
作者简介一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。
座右铭低头赶路敬事如仪
个人主页网络豆的主页
目录
3.NAT (nat address translation) 网络地址转换
前言
本章将会复习传输层的协议 TCP 和 UDP 协议ACL访问控制列表NAT (nat address translation) 网络地址转换防火墙配置。
一.知识点总结
1.传输层的协议
1TCP 和 UDP 协议
tcp, 传输控制协议 有保障的稳定的传输链接协议需要建立双向链接。
- 保证链接双方的活跃度和正常传输数据
- 支持的主要服务 ftp ssh telnet http 远程桌面 等
udp 用户数据包协议 即时性强免去繁琐的验证过程
- 没有保证的链接协议在传输过程中不必验证对方是否存在
- 支持的服务主要有 ntp dhcp dns 等
2TCP 协议的数据段格式
三次握手和四次挥手
- 三次握手即客户端与服务端进行的三次通信
- 四次挥手就是客户端和服务端通过四次通信释放连接也叫连接终止协议。
3DUP协议的特点
- UDP协议的特点就是无连接、不可靠、面向数据报的
- 整个过程就像是一个寄信的过程每次接收和发送数据均是整条进行发送。
2.ACL访问控制列表
作用 对网络访问进行具体的控制
1ACL 的运作原理
- ACL 是一张配置的表通过命令配置
- ACl 这个表应用到接口的入口或者出口
2这个表如何检查的
- 自上而下匹配
- 匹配到一条后就不再往下匹配
- 如果表中都没有匹配到默认拒绝
ACL 匹配的是数据包的那部分内容
是 传输层端口号 和网络层地址部分的内容
3ACL 的分类
- 标准acl
- 扩展acl
- 命名acl
4ACL 标准和扩展的配置
创建标准ACL的语法如下
Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]创建扩展的ACL语法如下
Router(config)#access-list access-list-number {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]3.NAT (nat address translation) 网络地址转换
1NAT作用
- 将私有地址转换为公有地址
- 可以有效节省ipv4地址(主要是公有地址)
2NAT 特点
- NAT允许对内部网络实行私有编址,从而维护合法注册的公有全局编址方案,并节省IP地址;
- NAT增强了公有网络连接的灵活性
3NAT 分类
静态nat 一对一一个私网地址对应转换为一个公网地址
- 192.168.1.1 —— 202.106.0.2
静态端口映射 (几个私网地址转换为一个公网地址根据不同端口区分)
- 192.168.100.10080 —— 202.106.0.15080
- 192.168.100.20023 —— 202.106.0.15023
一般用在公司内部服务器通过映射让外网可以访问
动态nat 一组对一组 实际上也是一对一 不过是随机的每次都不同
- 一般不用
pat 动态端口端口映射 多对一 就是内网整个网络对一一个外网地址
- 192.168.1.0、24 —— 202.106.0.1
一般用在内网客户机访问外网的情况下
4nat 优点
- 有效节省IP 地址
- 避免地址重叠
- 增加内网安全性
- 增加了内网和外网链接灵活性
5nat 缺点
- 增加了网络延迟
- 有些网络服务并不支持
6NAT 配置静态nat 动态nat pat 静态端口映射
路由器的
静态nat
ip nat inside source static 内部服务器地址 外网公网地址
静态端口映射
ip nat inside source static tcp 内部服务器地址 端口号 外网公网地址 端口号
pat
access-list 1 permit 内网客户端主机网段地址 子网掩码
ip nat inside source list 1 int 路由器外接口编号 overload
4.ASA防火墙
静态nat
static(dmz, outside) 外网公网地址 dmz 服务器地址
access-list abc permit ip any host 外网公网地址
access-group abc in int outside
静态pat
static(dmz, outside) tcp 外网公网地址 端口号 dmz服务器地址 端口号
access-list abc permit ip any host 外网公网地址
access-group abc in int outside
动态pat
nat(inside) 1 内网网段地址 子网掩码
global(outside) 1 interface
动态nat
nat(inside) 1 内网网段地址 子网掩码
global(outside) 1 外网起始地址—外网结束地址
二.PAT和静态端口映射实验
实验要求
- 全网通
- 配置PAT
- 配置静态nat
- 删掉静态nat 配置 静态端口映射
实验命令
isp 路由器配置
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#ip add 202.106.0.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/1
Router(config-if)#ip add 201.0.0.1 255.255.255.0
Router(config-if)#no sh
router0路由器配置
Router>
Router>en
Router(config)#int f1/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f1/1
Router(config-if)#ip add 192.168.2.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/1
Router(config-if)#ip add 172.16.0.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/0
Router(config-if)#ip add 202.106.0.1 255.255.255.0
Router(config-if)#no sh
Router(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2
配置pat
Router(config)#access-list 1 permit any
Router(config)#ip nat inside source list 1 int f0/0 overload
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#ip nat inside
Router(config-if)#int f1/1
Router(config-if)#ip nat inside
配置静态nat
Router(config)#ip nat inside source static 172.16.0.100 202.106.0.100
Router(config)#ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#
Router(config-if)#exit
删掉静态nat 配置 静态端口映射
Router(config)#no ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#no ip nat inside source static 172.16.0.100 202.106.0.100
Router(config)#ip nat inside source static tcp 172.16.0.100 80 202.106.0.150 80
Router(config)#ip nat inside source static tcp 172.16.0.200 21 202.106.0.150 21
创作不易求关注点赞收藏谢谢~