ACL 和 NAT

ACL 和 NAT

ACL

1.ACL的概述

ACL是由一系列permit/deny语句组成的有序列表

ACL能够对报文进行匹配和区分

2.ACL 应用

ACL两种应用:

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）
2. 应用在路由协议-------匹配相应的路由条目（ ）
3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

3.ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

4.ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）
• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

基本acl的书写格式 源ip

acl 2000
#新建表格，  将你设置的 过滤条件放入 这个表格


rule permit | deny source 匹配的条件（ip地址） 通配符掩码(用来控制匹配的范围，   比较难)
#添加条件



子网掩码的作用： 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码： 连续的0  代表网络位
00000000.00000000.00000000.11111111
0.0.0.255

通配符掩码
可以0 1穿插



利用ip地址+通配符匹配流量

掩码、反掩码-----0和1必须连续 ,通配符掩码-----0和1可以不连续
子网掩码	必须是连续的1
反掩码		 必须是连续的0
通配符掩码   0和1可以不连续
#通配符：匹配ACL控制的范围。根据参考ip地址，通配符“1”对应位可变，“0”对应位不可变，0/1可以穿插


rule 5   premit  source 192.168.1.0   0.0.0.255


192.168.1.0  
偶数  地址 用来算偶数
0-255  

0.0.0.1111 1111   ---> 0.0.0.255

0.0.0.1111 1110    255-1
0.0.0.254


192.168.1.1 
奇数  用来算
0.0.0.254
0.0.0.1111 111 0


192.168.1.1 0.0.0.0
192.168.1.1 0

192.168.1.1 0.0.0.255

案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0


案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255


案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254





acl 访问控制列表
1 建立规则
2 进入接口 调用规则 inboud  outboud

5.ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

6.匹配规则

1、一个接口的同一个方向，只能调用一个acl
2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行
3、数据包一旦被某rule匹配，就不再继续向下匹配
4、用来做数据包访问控制时，(华为设备:默认隐含放过所有,思科设备：默认隐含阻止所以）

NAT

1.静态nat

1.概念：

工程手动将一个私有地址和一个公网地址进行关联

2.操作

配置好地址：

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 
#注意不能直接使用 接口地址200.1.1.1

dis nat static
<Huawei>dis nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.1.1.100/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----

2.动态NAT

1.概述：

将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址

2.操作：

nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则

3.NATPT（端口映射）

1功能：

是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网

配置好ip地址

企业出口路由器需要配置默认路由

在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable

4.Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000


display nat session all