1. ACL访问控制列表

1.1 作用:

(控制和匹配)能够通过匹配IP报文中的相关字段对感兴趣数据包进行抓取;抓取特定的路由。应用在报文过滤、路由策略、NAT、×××、QoS等。

1.2 ACL类型

 标准:
 只能匹配报头中的源IP地址
 只能针对整个协议采取动作,无法针对特定的协议类型
 扩展:
 能匹配源目IP,以及四层端口号等信息
 可以针对具体的协议类型进行匹配
 隐藏规则:默认拒绝所有
 匹配原则:从上到下匹配
 命名原则:数字命名与字符串命名(反掩码)

1.3 时间ACL(指定的时间内应用相应的ACL)

time-range 名字;periodic weekdays 9:00 to 18:00

1.4 自反ACL:内部允许访问外部,外部不允许访问内部。https://blog.csdn.net/u013047651/article/details/23019243(类似与防火墙)

1.5 ACL的分法:

主流的分发为:基于编号的ACL和基于命名ACLVACL属于三种交换ACL(PACL,RACL,VACL)中的一种PACL (Port ACL)是应用在二层接口上的,并没有任何特别之处,将任何ACL应用到二层接口后,就称为Port ACL,但在二层接口只支持in方向,一个接口只能使用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用到EtherChannel.MAC是无法过滤IP流量的.RACL (Router ACL)和路由器接口上应用的ACL没有区别,将任何ACL应用到三层接口(SVI, routing-port,3层EtherChannel)后,就称为RouterACL,但只能是IP ACL,不能使MAC ACL ,Router ACL在in和out方向上都可以使用,每个接口每个方向只能使用一条ACL.VACL (VLAN ACL(VLAN map))是使用在VLAN与VLAN之间的ACL,每个VLAN只能使用一个,当需要控制IPv4流量时,VLAN ACL需要调用IP ACL,而其他流量则需要靠调用MAC ACL.①当应用VLAN ACL后,进入或离开VLAN的流量都会被检测,②无论是通过二层转发的还是三层转发的.③而且VLAN ACL是不能定义方向的,所以所有经过指定VLAN的流都会被过滤.当被调用的ACL匹配到流量后,默认动作是转发,而没有被匹配到的流量,默认也全部丢弃.

2. NAT网络地址转换

1.1 私网IP地址不能在公网上使用。

1.2 优缺点:

优点:节省IP地址空间;解决IP地址重叠问题;增加网络的连入Internet弹性;减少重编址的麻烦;对外隐藏内部地址,增加网络安全性。
缺点:增加转发延迟;丧失端到端的寻址能力;某些应用不支持NAT。

1.3 静态NAT(内外网可以互相ping通)

 服务场景:内网中存在需要对外网提供服务的服务器。
 一对一映射

1.4 动态NAT(内网ping通外网,外网ping不通内网)

 一个地址池对一内网IP(相当于一对一映射)
 该方式的NAT不会对数据报头中的端口地址进行转换

1.5 PAT端口转换

 多对一的映射(IP+端口)和四层协议端口号没关联。
 多个内部本地地址共同享用一个公网地址