(3)防火墙的应用----NAT和ACL
来源:互联网 发布:如何成为程序员大神 编辑:程序博客网 时间:2024/04/29 00:41
其中,ACL分为基本ACL、高级ACL和二层ACL。一个ACL中可以包括多个RULE,RULE规定了过滤规则,我们这里只使用基本ACL。
基本ACL编号由2000开始到2999结束。Rule编号由0开始,默认规则步长为5,这个不用太关心,一般每个规则的代号我们都会手动指定。
举个栗子。
acl basic 2000
rule 0 permit source 192.168.1.0 0.0.0.255
第一个指令进入编号为2000的基本ACL视图。
第二个指令在ACL 2000里面建立了一个规则,编号为0,规则为允许源IP地址为192.168.1.0 ~ 192.168.1.255的IP地址通过。后面的0.0.0.255是通配符。
ACL在应用到安全域间的规则上才有作用。继续举例。
zone-pair security source trust destination untrust
packet-filter 2000
第一个指令进入了源安全域trust到目的安全域untrust这个视图
第二个指令将ACL 2000应用到这个这个视图上,既将ACL2000中的规则应用到了源安全域trust到目的安全域untrsut这个方向上。
此时所有由trust端口发起到untrust端口的连接都将进过acl 2000中的rule进行检查之后并通过之后才能转发出去。
NAT全称Network Address Translation,网络地址转换。最常见的应用就是在家用的路由器上。
H3C防火墙也提供了这个功能。h3c手册上的第九第五节详细介绍了原理,就不赘述了。只说如何使用。
以我的网络结构举例。
防火墙trust接口为GE1/0/9。此端口ip地址为10.0.0.1/8。
防火墙untrust接口为GE1/0/10。此端口ip地址为192.168.1.50/24。
untrust接口接在公司可以上网的交换机上。此交换机上有很多计算机,其中某一台计算机ip地址为192.168.1.5/24。
trust接口接在一个pc上。pc的ip地址为10.0.0.100/8。
目的是通过使用pc能ping通公司内网的pc。
首先配置端口的IP地址。
配置GE1/0/9这个是接PC的。
interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
配置GE1/0/10这个是接交换机的。interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
将GE1/0/9添加到trust安全域中
security-zone name trust
import interface gigabitethernet 1/0/9
将GE1/0/10添加到untrust安全域中security-zone name untrust
import interface gigabitethernet 1/0/10
配置一个基本ACLacl basic 2050
添加一条规则,允许10.0.0.0这个网段的IP地址通过。
rule 0 permit source 10.0.0.0 0.255.255.255
在安全域trust到安全域untrust这个路径上应用acl 2050
zone-pair security source trust destination untrust
packet-filter 2050
生成一个nat地址池nat address-group 0
添加两个IP地址用于地址转换
address 192.168.1.51 192.168.1.52
在出接口GE1/0/10上应用acl 2050和nat地址池
interface gigabitethernet 1/0/10
nat outbound 2050 address-group0
此时NAT已经配置完成,可以用了。参考命令:
interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
quit
interface gigabitethernet 1/0/10
ip address 192.168.1.50 255.255.255.0
quit
security-zone name trust
import interface gigabitethernet 1/0/9
quit
security-zone name untrust
import interface gigabitethernet 1/0/10
quit
acl basic 2050
rule 0 permit source 10.0.0.0 0.255.255.255
quit
zone-pair security source trust destination untrust
packet-filter 2050
quit
nat address-group 0
address 192.168.1.51 192.168.1.52
quit
interface gigabitethernet 1/0/10
nat outbound 2050 address-group0
quit
- (3)防火墙的应用----NAT和ACL
- NAT、防火墙的原理区别和分类
- VoIP穿越NAT和防火墙的方法
- NAT、防火墙的原理区别和分类
- VoIP穿越NAT和防火墙的方法
- NAT、防火墙的原理区别和分类
- VoIP穿越NAT和防火墙的方法
- NAT、防火墙的原理区别和分类
- Linux下的NAT及防火墙的混合应用
- Linux下的NAT及防火墙的混合应用
- H.460实现MoIP应用的防火墙/ NAT穿越
- Nat和防火墙的概念和纠葛,谁先作用?
- VoIP穿越NAT和防火墙的方法【转】
- 网络电话穿越防火墙和NAT的四种方法
- VoIP穿越NAT和防火墙的四种方法
- [转]NAT、防火墙的原理区别和分类
- 关于iptables 对防火墙和NAT的一些操作
- NAT和代理服务器的原理及应用
- 用于Activity管理和应用程序退出
- C primer plus C 第六章控制语句:循环 编程练习个人练习
- linux 工作调度
- To be the better one for programing
- JAVA scanner扫描器和BufferedReader流输入的用法
- (3)防火墙的应用----NAT和ACL
- springmvc配置
- temp
- 二十一,iOS app图标数字,状态栏样式等设置
- 415. Add Strings
- LVS(二) LVS+Keepalived实现高可用负载均衡
- Spring journey -- JavaConfig 装配 Bean
- 性能测试--系统吞吐量(TPS)、用户并发量、性能测试概念和公式
- 排序——快速排序
