ACL 和NAT

ACL

ACL概念

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过

技术背景：需要一个工具，实现流量过滤

ACL应用

1. 应用在接口的ACL——过滤数据包（原目IP地址，原目mac，端口）
2. 应用在路由协议——匹配相应的路由条目
3. NAT、IPSEC VPN、QOS——匹配感兴趣的数据流（匹配上我设置的数据流）

ACL工作原理：

ACL由一系列规则组成，通过将报文与ACL规则进行匹配，设备可以过滤出特定的报文。

ACL的组成

ACL的种类

• 编号2000~2999（基本ACL）——依据数据包当中的源IP地址匹配数据
• 编号3000~3999（高级ACL）——依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000~4999——二层ACL,MAC、VLAN-id、802.1q

基本ACL与高级ACL的命令格式：

• acl 2000 #基本acl 列表（建立acl 2调用acl）
• rule 5permit/denysource 匹配的条件（ip地址） 通配符掩码 #默认编号5 拒绝 来自192.168.1.1 的流量
• int g0/0/1
• traffic-filter outbound acl 2000#数据流向在接口下调用acl 分为两个方向
• inbound方向--------当接口收到数据包时执行ACL
• outbound方向-------当设备从特定接口向外发送数据时执行ACL

(没有被acl匹配数据默认采用permit动作;
基本acl需要调用在离目的设备最近的接口上)

高级 acl：

• acl number 3000
• rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www（80）
• [R1]int g0/0/0
• [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

通配符掩码：
可以“0”，可以“1”
通配符“1”对应位可变，“0”对应位不变（与地址是否变化有关，变的位记作“1”，不变的位记作“0”）

实验操作

要求：192.168.1.1/24不能访问192.168.2.1/24

基本ACL：
配置路由R2


高级ACL：
配置路由R2

NAT

什么时NAT：

NAT是一种地址转换技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术，由于实现简单，得到了广泛应用。

NAT工作机制

一个数据包从企业内部网去往公网时，路由器将数据包当中的源IP（私有地址），翻译成公网地址

设：192.168.1.1 位公司的内网地址， 去访问外网服务器（200.0.0.1）

源地址：192.168.1.1 目的地址：200.0.0.1

经过路由器NAT技术处理

源地址变为：200.0.0.1 目的地址：200.0.0.1

回包时：
源地址：200.0.0.1 目的地址：201.0.0.1

经过路由器NAT技术处理

源地址：200.0.0.1 目的地址：192.168.1.1

静态NAT

工程手动将一个私有地址和一个公网地址进行关联，一 一对应，缺点和静态路由一样

实验

1、PC1 ping 200.1.1.2 （不通）

2、配置企业出口：

3、PC1 ping 200.1.1.2 （通）

端口映射技术（NATPT）

配置企业出口（端口200.1.1.2）

http服务：

Easy-IP

1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址