ACL、NAT

目录

ACL

1.1 访问控制列表

1.2 ACL应用

1.3 ACL工作原理:

1.4 基本acd的书写格式

1.5 通配符

NAT

NAT工作机制

静态nat

NATPT（端口映射）

Easy-IP

---

ACL

1.1 访问控制列表

ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具，能够对报文进行匹配和区分。
复制代码

1.2 ACL应用

ACL两种应用:

1.应用在接口的ACL----过滤数据包
2.应用在路由协----匹配相应的路由条目
3. NAT. IPSECVPN. 0S----匹配感兴趣的数据流
复制代码

基本ACL规则定义方式的分类

分类	编号范围	规则定义描述
基本ACL	2000~2999	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL	3000~3999	可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、1CMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL	4000~4999	使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。
用户自定义ACL	5000~5999	使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户ACL	6000-6999	既可使用IPv4报文的源IP地址或源UCL (User Control List)组，也可使用目的IP地址或目的，UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

  基于ACL标识方法的分类

分类	规则定义描述
数字型ACL	传统的ACL标识方法。创建ACL时，指定- -个唯- -的数字标识该ACL.
命名型ACL	通过名称代替编号来标识ACL。

1.3 ACL工作原理:

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。
复制代码

1.4 基本acd的书写格式

ac1 2000   ##新建表格， 将你设置的过滤条件放入这个表格
rule permit | deny sburce 匹配的条件通配符掩码(用来控制匹配的范围)##添加条件
利用i p地址+通配符匹配流量
复制代码

1.5 通配符

掩码、反掩码-----0和1必 须连续， 通配符掩码-----0和1可以不连续
子网掩码：必须是连续的1
反掩码：必须是连续的0
通配符掩码：0和1可以不连续   #通配符: 根据参考ip地址，通配符“1"对应位可变，“0" 对应位不可变，0/1可以穿插
复制代码

实验配置

int g0/0/0##进入接口
ip address 192.168.1.254 255.255.255.0##添加IP
int g0/0/1
ip address 192.168.2.254 255.255.255.0
int g0/0/2
ip address 192.168.3.254 255.255.255.0
acl number 3000##建立acl
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www（80）##禁止访问80端口
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter##放行其他
[R1-GigabitEthernet0/0/0]inbound acl 3000##调用acl3000
复制代码

测试结果

NAT

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当
中的源ip（私有地址），翻译成公网地址
复制代码

 NAT (网络地址翻译)： 一个数据包目的ip或者源ip为私网地址，运营商的设备无法转发数据。

静态nat

工程手动将一个私有地址和一个公网地址进行关联，一一对应，缺点和静态路由一样
复制代码

实验配置

企业出口的路由配置：

[R1]int g0/0/1 ##进入接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 24##添加IP地址
[R1-GigabitEthernet0/0/1]nat static enable##开启静态nat
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1##将公网IP地址和私网IP地址绑定在一起，pc机访问运营商设备时，返回数据时会把私网地址转换成公网地址
复制代码

运营商设备路由配置：  

[R2]int g0/0/0##进入接口
[R2-GigabitEthernet0/0/0]ip add 200.1.1.2 24##添加IP地址
复制代码

测试连通性

抓包测试

NATPT（端口映射）

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射
复制代码

实验配置：

企业出口路由配置：

[R1]int g0/0/0##进入接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 ##添加IP地址
[R1-GigabitEthernet0/0/0]int g0/0/1##进入接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 255.255.255.0##添加IP地址
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www inside 192.168.1.100 www##把公网当前接口的80端口配置映射到私网的端口
[R1-GigabitEthernet0/0/1]nat static enable##开启静态nat
[R1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2##配置默认路由
复制代码

运营商路由配置：

[R2]]int g0/0/0##进入接口
[R2-GigabitEthernet0/0/0]ip address 200.1.1.2 255.255.255.0##添加IP地址
[R2]]int g0/0/1##进入接口
[R2-GigabitEthernet0/0/1]ip address 202.1.1.2 255.255.255.0 ##添加IP地址 
复制代码

用client机测试http功能

Easy-IP

1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
复制代码

企业出口路由配置：

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
复制代码

查看端口测试

先长ping 202.1.1.1查看分配端口情况
PC>ping 202.1.1.1 -t
复制代码

  

[R1-GigabitEthernet0/0/1]display nat session all
复制代码