ACL 与NAT

ACL

概述

acl是由一系列permit或deny语句组成、有序规则的列表。

ACL是一个匹配工具，能够对报文进行匹配和区分。

应用

匹配流量

在traffic-filter中备调用

在NAT中被调用

在路由策略中被调用

在QoS中被调用

（两种应用）【应用在接口的ACL---->（源目IP地址，源目协议/端口，五元组），应用在路由的协议----->匹配相应的路由条目。】

工作原理

当数据包从接口经过时，由于接口启用了acl，此时路与其会对报文进行检查，然后做出相应的处理（拒绝，接受）

种类

2000-2999--->基本ACL--->依据数据包当中的源目IP地址匹配数据（数据时从哪个IP地址过来的）【尽量用在靠近目的地】

3000-3999--->高级ACL--->高级ACL一句数据包当中的源、目的IP，源，目的端口，协议号匹配数据【尽量用在靠近源的地方（可以保护带宽和其他资源）】

ACL配置命令

ACL 2000 ## 创建基础ACL
rule   permit （deny）source 1.1.1.1    ##添加规则允许、拒绝 源IP为1.1.1.1的地址
  int g/0/0/1 ##进入要配置的端口
traffic-filter oubound (inbound)ACL 2000 # 在入口或出口调用ACL 2000 的规则

实验 PC1不可用访问serverPC2可以

给PC端配置IP地址子网掩码和网关

检测PC1和PC2是否都可以通server

在路由设置ACL不允许PC1访问serverPC2可以

NAT

作用与介绍

（NETWORK ADDRESS TRANSLATION  网络地址转换） 可以让内网访问外网，但外网无法访问内网。保护内网

数据包经过NAT设备从内网到外网和外网到内网的转换过程

NAT技术当内网数据包经过路由器，会将源地址转换成公网地址。

当公网的数据包经过路由器，NAT会将目的地址转换成内网地址。

NAT分类

①静态NAT：私网地址和公网地址一对一映射，局限性是需要每一个私网ip对应一个公网ip，所以需要公网ip比较多。

②动态NAT：将公网ip划出一个公网ip池，当内网地址访问外网时随机分配一个公网对应ip，访问完毕后回收公网ip。

NAT配置

静态nat配置

进入企业出口路由器static nat enable 开启静态nat

nat static global 1.1.1.1  inside 2.2.2.2  将静态nat私网地址1.1.1.1对应公网2.2.2.2

动态nat配置

nat address -group 1 200.1.1.10  200.1.1.15   #建立地址池

acl number 2000    #创建acl 2000

rule 5 permit source 192.168.1.0   0.0.0.255   #给需要地址转换的  网段添加规则

int  g0/0/1  #进入g0/0/1接口i

nat  outbound  2000  address-group 1 no-part   #将添加的规则放在出口

EASY-IP 实验    PC1和PC2可以通过企业路由器访问外网