ACL和NAT

一.ACL的应用

ACL两种应用

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）

2. 应用在路由协议-------匹配相应的路由条目（ ）

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

ACL工作原理

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。

ACL种类

1.编号2000-2999——基本ACL——依据数据包当中的源IP地址匹配数据（数据从哪个IP地址过来的）

2.编号3000-3999——高级ACL——依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

3.编号4000-4999——二层ACL——MAC，VLAN-id、802.1q

 

基本acl的书写格式 源ip

acl 2000 新建表格

rule permit deny source 192.168.1.1（ip地址例）  通配符掩码

 

利用ip地址+通配符流量

子网掩码：必须是连续的1

反掩码：必须是连续的0

通配符掩码：0和1可以不连续

 

rule   5   premit   source   192.168.1.0     0.0.0.255

 

ACL（访问控制列表）的应用原则

基本ACL：尽量用在靠近目的点

高级ACL：尽量用在靠近源的地方（可以保护带宽和其他资源）

 

匹配规则

1、一个接口的同一方向，只能调用一个acl

2、一个acl里面可以有多个rule规则，按照规则id从小到大排序 ，从上往下依次执行

3、数据包一但被某rule匹配，就不再继续向下匹配

4、用来做数据包访问控制时，默认隐含放过所有（华为设备）

 

二.NAT

NAT（网络地址翻译）

一个数据包目的ip或者源ip为私网地址 ， 运营商的设备无法转发数据

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址

 

静态nat

192.168.1.1        201.0.0.1

192.168.1.2        201.0.0.2

 

工程手动将一个私有地址和一个公网地址进行关联，一一对应，缺点和静态路由一样

int g0/0/1

ip address 200.1.1.1   255.255.255.0

nat static enable 

nat static global 200.1.1.100  inside  192.168.1.1 #注意不能直接使用 接口 地址200.1.1.1

 

动态NAT

nat address - group 1  200.1.1.10  200.1.1.15   #建立地址池

acl number 2000

rule 5 permit source 192.168.1.0   0.0.0.255  #给需要的地址转换的网段添加规则

int  g0/0/1

nat outbound 2000 address - group 1 no-pat    #添加规则

 

NATPT（端口映射）

NAT Server ------内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

 

int g0/0/1

ip address 200.1.1.1   255.255.255.0

undo nat static global  200.1.1.100  inside  192.168.1.1  netmask  255.255.255.255

nat server protocol  tcp  global  current-interface www inside 192.168.1.100 www

nat static enable

 

Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

 

acl 2000

rule permit source 192.168.1.0   0.0.0.255

int g0/0/1

undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255

nat outbound 2000

 

display nat session all