云计算学习笔记——ACL、NAT(静态、Easy)、VRRP篇

最新推荐文章于 2025-08-08 15:25:22 发布
最新推荐文章于 2025-08-08 15:25:22 发布
阅读量870 收藏 10
点赞数 24
CC 4.0 BY-SA版权
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forpoppet/article/details/149999782

云计算学习日记Day4》—— 从零开始的云计算之旅
今天是系统学习云计算的第四天,记录了关于我的云计算学习,后续将每日更新我的笔记。欢迎大家一起来学习,如果内容有遗漏和错误,还请大家多多指正和包涵,谢谢大家。

ACL

ACL概述

什么是ACL

访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(即规则)

ACL作用

  • 读取第三层(网络层)、第四层(传输层)报文头信息
  • 根据预先定义好的规则对报文进行过滤

ACL的主要类型

分类编号范围参数
基本ACL2000-2999源IP地址
高级ACL3000-3999源IP地址、目的IP地址、端口、协议

ACL规则

  • 每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤
  • 匹配即停止

基本ACL

  • 基本ACL:
    • 基于源IP地址过滤数据包
    • 列表号是2000~2999

例子:

第一步:配置PC8 IP:192.168.1.1 网关:192.168.1.254

第二步:配置Client8 IP:192.168.1.2 网关:192.168.1.254

第三步:配置Server2 IP:192.168.2.1 网关:192.168.2.254

第四步:配置路由器AR4 GE0/0/0:192.168.1.254 GE0/0/1:192.168.2.254

第五步:在路由器AR4中配置ACL

<Huawei>sys
Enter system view, return user view with Ctrl+Z.

#创建acl文件,列表号是2000
[Huawei]acl 2000
#表示拒绝源IP是192.168.1.2的数据通过
#0.0.0.0是指精准匹配
[Huawei-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
#查看这条规则
[Huawei-acl-basic-2000]display this
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.1.2 0 
#第五条,正常来说创建时是每隔五条创建一个,为了更好的控制和修改规则
#
return
[Huawei-acl-basic-2000]quit
[Huawei]int g0/0/0          #进入接口GE0/0/0
#定义过滤数据是输入方向,并且使用上面创建的acl2000
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/0]
<Huawei>save

第六步:如果配置错误可以这样修改:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 2000
[Huawei-acl-basic-2000]undo rule 5   #删除第五条

相应的如果接口配置错误使用:undo traffic-filer inbound

高级ACL

高级ACL概述

  • 基于源IP地址、目标IP地址、源端口、目的端口、协议过滤数据包
  • 列表号是3000~3999

高级ACL配置

连接示例图

按图所示完成基础配置后进行高级ACL的配置

要求:拒绝192.168.1.2访问192.168.3.1的FTP服务

<Huawei>system-view        #进入系统视图
Enter system view, return user view with Ctrl+Z.
#创建配置高级ACL3000
[Huawei]acl 3000
#表示tcp协议,拒绝 192.168.1.2 访问 192.168.3.1 的FTP服务(端口号21)
[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 
0 destination-port eq 21
[Huawei-acl-adv-3000]quit
[Huawei]display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port
 eq ftp 

#进入接口0/0/0,在接口的进入的方向应用
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

NAT

NAT概述

NAT作用

  • NAT
    • Network Address Translation,网络地址转换
    • 作用:通过将内部网络的私有IP地址转换成全球唯一的公网IP地址,使内部网络可以连接到互联网
  • 私有IP地址分类
    • A类:10.0.0.0~10.255.255.255
    • B类:172.16.0.0~172.31.255.255
    • C类:192.168.0.0~192.168.255.255
  • N使用NAT带来的好处
    • 节省公有合法IP地址
    • 处理地址重叠
    • 提高安全
  • NAT实现方式
    • 静态转换
    • Esay IP

Easy IP

Easy IP概述

Easy IP是一种基于NAT(网络地址转换)的技术,主要用于解决公网IP地址不足的问题,允许多个内网设备共享单个公网IP进行互联网访问

Easy IP工作原理

  • 内网设备发起请求:(如访问百度)
    • 源IP→路由器
  • NAT转换:
    • 路由器将源IP替换为公网接口IP
  • 服务器响应

配置示例图

代码配置

首先对所有区域配置IP、网关等,然后对它们进行相应的配置,使他们之间可以相互通信,这里的操作前面讲过,就当作是一种练习

配置结束后检验一下功能:

①-PC1-1 ping PC3-1→成功

②-PC3-1 ping PC1-1→成功

然后,配置NAT地址转换,在路由器中编写,代码如下

<Huawei>sys               #进入系统视图
Enter system view, return user view with Ctrl+Z.
#配置ACL2000(允许谁可以进行Easy IP地址转换)
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source any
[Huawei-acl-basic-2000]quit
#进入0/0/1接口,启用Easy IP地址转换
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000
[Huawei-GigabitEthernet0/0/1]
<Huawei>save

怎么验证是否配置成功呢?

我们根据之前所学的知识知道,在不进行Easy IP地址转换的前提下,要想实现两个网络之间的互通,需要配置网关,通过路由器来实现通信。

但是现在,我们进行了Easy IP地址的转换,192.168.1.0和192.168.2.0在通过路由器的Gigabit Ethernet0/0/1接口之后,IP转换成了200.168.1.254,和紫色中的设备处于同一个网络,那它们之间的通信就不需要网关了,所以我们把Server1-1的网关取消掉,然后再去ping一下,看看是否可以ping到,如果可以,那便是配置成功了

-PC1-1 ping Server1-1→成功

到这里,Easy IP的配置就完成了

静态转换(内网穿透技术、打洞技术)

静态NAT概述

静态转换是指将内部网络的地址转换成共有地址时,IP地址的对应关系是确定的

通俗点来讲,假如一个公司内部有一个服务器,公司内的网络都是192.168.0.0,是私有网络,我在公网上怎么才能访问到这个服务器呢?

第一步,公司需要去买一个公有固定IP,而且这个IP一般和公司的对外接口的IP在同一个网络上

第二步,把这个新买的公有IP和服务器上的私有IP绑定在公司的默认路由上

第三步,在这个路由上,这两个IP是绑定的,不管是从内到外还是从外到内,IP都会进行相应的转换,这样就实现了对这个公司内部的服务器的访问

静态转换的特点

  • 一对一转换
  • 双向

静态转换代码实现

命令:nat static global 公网IP inside 私有IP

解释:nat就是转换指令 static就是静态

如何测试是否转换成功呢?(或者说怎么确定代码起作用了?)

很简单,用外网的机器访问内网的这个服务器,IP填写购买的那个IP,也是就购买的那个公有IP,如果可以ping通,那么就成功了

VRRP(虚拟路由冗余协议)

VRRP概述

解释

虚拟路由冗余协议,英文Virtual Router Redundancy Protocol,简称vrrp

vrrp能够在不改变组网的情况下,将多台路由器虚拟成一个路由器,通过配置虚拟路由器的IP地址为虚拟网关,实现网关的备份

vrrp组成成员

-主(Master)路由器

-备份(Backup)路由器

-虚拟(Virtual)路由器

核心

解决客户端网关地址指向问题(客户端不需要手动修改网关地址)

举一个简单的例子:

还是Easy IP中的那张实验图,不过我再多加一个三层交换机,就像这样:

那这个图该怎么配置呢?

首先和第一个三层交换机一样配置新添加的这个三层交换机,只不过,关于它的vlan10 和vlan20 的IP改为192.168.1.253和192.168.2.253

然后把下面的pc和client的网关改为192.168.1.252和192.168.2.252

最后在虚拟一下就欧克了

配置

上面我们讲到了虚拟一下,怎么虚拟呢?

#这个是在LSW1-1上敲写的
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int v10
#在vlanif10里面,组织名称为1,虚拟IP就是vlan10的网关
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 192.168.1.252
[Huawei-Vlanif10]vrrp vrid 1 priority 200   #优先级200,默认100
[Huawei-Vlanif10]int v20
#在vlanif20里面,组织名称为2,虚拟IP就是vlan20的网关
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 192.168.2.252
[Huawei-Vlanif20]vrrp vrid 2 priority 200   #优先级200,默认100
--------------------------------------------------------------
#这个在另一个三层交换机上敲写
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int v10
#在vlanif10里面,组织名称为1,虚拟IP就是vlan10的网关
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 192.168.1.252
[Huawei-Vlanif10]int v20
#在vlanif20里面,组织名称为2,虚拟IP就是vlan20的网关
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 192.168.2.252

这样,就达到了我们想要的结果——所有内网计算机与客户端想要与外界通信,按照它们的网关去找两个三层交换机,第一个交换机的优先级200大于第二个交换机的优先级100,所以数据通过第一个三层交换机进行传输

当第一个三层交换机寄寄后,再由第二个交换机抗大梁,避免了由于设备原因导致网络不通

守.护
关注
HCIA 学习笔记 (44-50) NAT、DHCP、VRRP
yongganzhe02的博客
08-27 403
文章目录1. NAT静态NAT:公有地址 私有地址 1对1转换:静态NAT端口映射:公有地址+端口号 映射 私有地址+端口号:动态NAT:多对多 和 多对一2.DHCP:基于接口地址池的DHCP:配置基于全局地址池的DHCP:DHCP 中继:3.VRRP:配置多组VRRP实现负载均衡: 1. NAT: 私网地址: 类地址 地址 表示方法 解释 A 10.0.0.0-10.255.255.255 10.0.0.0/8 16百万 B 172.16.0.0-172.31.255.255 17
Linux云计算 |【第二阶段】NETWORK-DAY4
小安的运维专栏
08-09 1459
NAT原理与配置(私有IP地址、静态NAT转换、Easy IP)、VRRP解析(主路由器、备份路由器、虚拟路由器、优先级)
学习笔记网络规划——刷B站网规视频笔记
weixin_43865950的博客
07-19 406
自学网络规划笔记
华为数通HCIA(学习笔记)
weixin_52212266的博客
03-22 5932
2024-03-22 重启华为数通学习计划由于工作原因,预计将在2024年6月30日之前完成HCIP的学习并通过HCIP的考试-在2025年6月30日前完成HCIE的学习并通过HCIE的考试在通过HCIE的考试之前,做到日更笔记,或是学习笔记,或是实验内容(实验内容我会更新在另一帖子当中)
ICT学习笔记
m0_64598287的博客
10-10 825
早期的链路层控制协议面向字符,典型代表是IBM公司推出的BSC 后来IBM又推出面向比特的链路控制协议SDLC HDLC协议支持的两种类型传输模式:同步传输模式、异步传输模式 异步传输模式:以字节为单位传输数据的方法,并且需要另设起始位和终止位标志每个字节的开始与结束 同步传输模式:以固定的时钟节拍发送数据信号,在计算机网络中采用的是同步传输模式 同步传输模式下的HDLC帧结构: 保证标志字段的唯一性和数据传
HCIA学习笔记
WLAQDoudou的博客
11-30 1241
1 功能记录 1.1 路由器 网络边源使用路由器,因为大部分交换机无法做NAT 1.2 网络 1.2.1 广域网(WAN) 和互联网的区别 互联网开放,而广域网不开放 1.2.2 受传输距离限制怎么传到那么远的地方 使用远距离传输介质,如光设备(传输网) 1.2.3 衡量网络的主要指标 带宽(bandwidth) – 单位 bps 延迟(delay) 可用性(Availability) 扩展性(Scalability) 可靠性(Reliability) 1.2.4 以太网 是一种应用最普遍的局域网技术 1.
网络规划设计师-网络层笔记(自学笔记记录)
Carlos5en的博客
04-13 735
网络规划设计师-网络层笔记(自学笔记记录)供大家参考
企业级网络架构(搭建)学习笔记(网管)
山河已无恙
03-25 6308
以后我要真诚地做一切事情,我要像笛卡尔一样思辨,像堂吉柯德一样攻击风车。无论写诗或是,做爱,都要以极大的真诚完成。眼前就是罗德岛,我就在这里跳跃-我这么做什么都不为,这就是存在本身。---王小波
Linux云计算 |【第二阶段】NETWORK-DAY6
小安的运维专栏
08-13 1481
企业网络综合项目分析、大型企业网络搭建
HCNA笔记
weixin_42517976的博客
12-16 3198
@恋爱交换机 HCNA 笔记 在空闲的时间里去做的笔记 eNSP及VRP基础操作 1.1 熟悉VRP基本操作 最初配置 Sysname //名字修改名字 clock datetime 00:00:00 2018-07-28 //设置路由时钟 clock timezone BJ add 08:00:00 //设置时区 header login information“HELLO” // 设置...
防火墙知识学习(一)
weixin_39664643的博客
10-28 3115
防火墙相关知识学习笔记
HCIA笔记-常读常新
m0_47305552的博客
02-27 5726
1、交换机可以实现:数据帧的交换,终端用户设备的接入,基本的接入安全功能,二层链路的冗余。 2、路由器可以实现:维护路由表和路由信息,路由发现及路径选择,数据转发,隔离广播域,广域网接入和网络地址转换及特定的安全功能。 3、防火墙:是位于两个信任程度不同的网络之间(如企业网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。 4、OSI参考模型 应用层 对应用程序提供接口 表示层
希赛《华为 HCIA-Datacom 》核心考点之 NAT 技术解析
2501_92670687的博客
08-06 615
也就是说,每个私有地址都有一个与之对应并且固定的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被 NAT 设备转换成对应的私有地址。家庭内部的设备使用私有地址(如 192.168.x.x)相互通信,当这些设备需要访问外网资源时,路由器会将其私有地址转换为从运营商处获取的公有地址,从而实现与外部网络的通信。为了避免地址浪费,动态 NAT 提出了地址池的概念:所有 可用的公有地址组成地址池。在企业或家庭网络中,我们使用的是私有网络和私有地址,而运营商维护的是公共网络和公有地址。
BGP笔记及综合实验
最新发布
CwSy_的博客
08-08 672
配置示例:通过路由策略打标记, [R1-route-policy]apply community no-export ,并启用通告 [R1-bgp]peer 100.1.1.2 advertise-community。- MED:多出口鉴别器,用于判断流量进入AS的最优路径,仅在相邻AS间传递,默认值0(network路由)或原IGP的cost(引入路由),值小的优先。- 定义:将一个AS划分为多个子AS,子AS内IBGP全连接,子AS间建立联盟内部EBGP连接,解决IBGP连接激增问题。
OSPF 知识点总结
Lgnazio的博客
08-05 924
DD报文的序列号,在DD报文交互的过程中,DD序列号被逐次加1,用于确保DD报文传输的有序和可靠性。值得注意的是,DD序列号必须是由Master路由器来决定的,而Slave路由器只能使用Master路由器发送的DD序列号来发送自己的DD报文。dead-time一致;对于OSPF的ASBR设备LSDB表的影响只学习到了聚合后的聚合,对于下游设备的LSDB表有影响,只学到聚合后的LSA。注:3类LSA的传递范围在ABR相邻的单区域中进行,跨区域传递时,需要进行通告者的转换,通告者变了,则将不是同一条LSA。
MPLS LDP概述
Fanmeang的博客
08-08 597
LDP是MPLS网络中的标签分发控制协议,负责标签分配和LSP建立维护。LDP对等体通过会话交换标签消息,可以是直连或非直连关系。邻接体分为本地邻接体(组播发现)和远端邻接体(单播发现)。LDP会话建立包括发现、参数协商和维护三个阶段,使用UDP 646端口发现邻居后转为TCP连接。LDP ID由LSR ID和标签空间标识组成,标签空间分为全局和基于接口两种。LDP消息类型包括邻居发现、会话建立、保活和标签通告等。协议报文包含LDP头部和消息体,通过TCP/UDP传输实现MPLS标签分发功能。
内网穿透原理和部署教程
2302_80105876的博客
08-07 7257
本文介绍了内网穿透技术原理及frp工具的部署方法。由于NAT映射表是临时且单向的,外网无法直接访问内网服务。通过部署公网服务器作为中转,frp实现了内网服务的穿透访问。具体步骤包括:下载frp软件包,详细说明了配置文件修改要点和端口开放注意事项,并提供了SSH和Nginx两个实际应用案例,希望能帮助您快速掌握内网穿透的实现方法。
ospf笔记
fulangxisikexi的博客
08-05 536
报文验证:区域验证([r3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456)、接口验证([r5-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456),接口验证优先级更高。状态机:从Down→Init→2-way(邻居稳定)→Exstart(协商主从)→Exchange(交换LSA摘要)→Loading(请求LSA)→Full(邻接稳定)
iptables 里INPUT、OUTPUT、FORWARD 三个链(Chain)详解
jkzyx123的博客
08-05 424
iptables 把数据包的处理过程分为多个“链”,每条链就是一组规则,规则之间按顺序匹配。链名称作用方向数据包路径INPUT进入本机外部数据包 → 本地程序OUTPUT从本机发出本地程序 → 外部网络FORWARD本机转发(不处理)外部设备 → 外部设备(经由本机)链名称流量方向是否发给本机是否来自本机示例INPUT入站流量✅ 是❌ 否别人访问你OUTPUT出站流量❌ 否✅ 是你访问别人FORWARD转发流量❌ 否❌ 否本机充当中转(如路由器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值