ACL与NAT

ACL与NAT

ACL

acl是由一系列permit或deny语句组成的，有序规律的列表

acl是一个匹配工具，能够对报文进行匹配和区分

ACL应用

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）

2. 应用在路由协议-------匹配相应的路由条目

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

ACL 工作原理

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）

• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

ACL(访问控制列表)的应用原则

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

• 一个接口的同一个方向，只能调用一个acl
• 一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行
• 数据包一旦被某rule匹配，就不再继续向下匹配
• 用来做数据包访问控制时，默认隐含放过所有(华为设备)

 

 

NAT

网络地址翻译（natwork address translation）——让内网可以访问外网

一个数据包目的ip或者源ip为私网地址， 运营商的设备无法转发数据。

实际场景问题如下图：

 

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址

当内网的数据包经过路由器，nat会将源地址转换成公网地址

当公网的数据包经过路由器，nat会将目的地址转换成内网地址

静态nat：公网地址和私网地址一一对应

动态nat：地址池

natpt：需要有一个固定的公网地址

2. NATPT（端口映射）

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

3.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址