ACL和NAT的作用

ACL（访问控制列表）分类

标准ACL 列表号：2000-2999
扩展ACL 列表号：3000-3999
命名ACL

ACL作用

1、读取第三、四层包头信息
2、根据预先定义好的规则对包进行过滤
标准ACL：只能过滤源IP
扩展ACL：能过滤源/目IP、源/目端口号

ACL规则

使用规则

1、定义列表内容
2、调用接口/进程

执行规则

顺序执行，若有一条匹配上，则执行结束后，直接退出。
若所有的语句都没有匹配上，则执行隐含默认的规则，拒绝所有。
附：执行ACL，至少放行一条流量。

ACL应用

访问控制列表在接口应用的方向：

出：已经过路由器的处理，正离开路由器接口的数据包
入：已到达路由器接口的数据包，将被路由器处理
入：对本机生效
出：对本机不生效，对下台机器生效

ACL规则按顺序执行

标准列表—应该将列表放进靠近目标的地方，防止流量被误阻碍
扩展列表—在调用时应靠近源，节省宽带。

NAT（网络地址转化）

作用

内部（私有）地址转化为外部（公有）地址

应用方向

1、没有足够的公网IP连接到Internet
2、当更换ISP需要重新编址
3、合并两个使用重叠地址空间的内部网络
4、使用单个IP地址支持基本的负载分担

优点

1、节省了公网IP地址
2、能够处理编址方案重叠的情况
3、网络发生改变时不需要重新编址
4、隐藏了真正的IP地址

实现方式

静态：内部地址被预选映射到指定的外部地址，内部地址和外部地址是一 一对应的【一个内网地址对一个公网地址】
动态：内部地址可以使用地址池中的外部地址。多个内部地址共享多个外部地址【多个内网地址对多个公网地址】
easyIP：多个内部地址共享一个外部端口，通过端口号多路复用技术实现。【多个内网地址对一个外网接口】
静态PAT：又称server nat【一对一，但是外网映射内网的服务】
服务器真实ip，对应服务器接口——外网ip，对应服务器端口
附：出口路由器上需要配置默认路由。