ACL和NAT的原理与应用

一、ACL

1.什么是ACL

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

2.ACL 应用

ACL两种应用:

1. 应用在接口的ACL-----过滤数据包

2. 应用在路由协议-------匹配相应的路由条目

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流

3.ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

4.ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）

• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

5.实例演示

 首先，配置好所有主机的IP地址

 

 

 

 

 

1. 建立acl   2调用acl

基本acl 列表号

默认编号5  拒绝  来自192.168.1.1 的流量

 在用户192.168.1.1，访问192.168.2.1，无法访问

  在用户192.168.1.1，访问192.168.3.1，访问正常

这是普通的AVL，下面这个是高级ACL

 总结：ACL能够在路由器对报文进行检查，然后做出相应的处理，进行个性化设置

二、NAT技术

1.什么是NAT技术

NAT（网络地址翻译）

一个数据包目的ip或者源ip为私网地址， 运营商的设备无法转发数据。私网IP不会出现在公网IP上。

2.NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址

 3.静态nat

将一个私网地址和一个公网地址进行绑定，一个私网对应一个公网

 首先配置好所有PC机的IP地址，网管地址，还有路由器端口的IP地址

 

 

 

 在企业出口路由器上的 g0/0/1  口配置

 192.168.1.1通过这个路由器的时候，路由器将私网地址转变成公网地址200.1.1.100进行通信

 验证只有PC1可以浏览公网IP，PC2 没有绑定公网IP无法访问。

 4.动态NAT

 

 这样两个PC机就都可以访问外网了，这就是动态NAT，但是需要公网的地址池，多少个私网IP，公网地址池就需要多少个公网的IP。

5.NATPT（端口映射）

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口，把公司内部端口隐藏在后面，更加的安全

 配置好所有机器的IP地址,在AR2中新增下一跳地址，就可以从企业出口路由器中映射企业服务器，在企业出口路由器中查看服务器。

 6.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

 

 

 

这样PC1 PC2就可以直接访问公网的IP了。

 

7.总结：

ALT技术。可以通过指定设置对IP进行限制，从而实现流量过滤，那些IP可以访问那些IP不可以访问。

NAT技术可以让内网IP能够访问公网，

静态NAT：是一个公网IP对应一个私网IP，缺点成本很大，需要购买大量公网IP才可以访问公网

动态NAT:是私网IP需要访问公网时，路由器在公网IP池里面捞，然后分配给私网IP,缺点：还是一个私网IP 对应一个公网IP，当公网IP池里面的IP用完了，私网也就无法访问公网了。需要等待新的公网IP。

NATPT(端口映射)：将企业内部的端口映射到企业路由器的出口，可以实现内部服务器藏在路由器后面，更加的安全

EASY-IP:只需要一个公网的IP，当私网IP需要访问公网时间，路由器用私网IP+端口号的方式记住这个私网IP，然后把私网IP转换成公网IP，从而实现私网IP访问公网。