简单认识ACL和NAT及Easy-ip

---

ACL介绍

1.ACL概念
ACL（Access Control List，访问控制列表）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并且能够针对不同类型的报文进行不同的处理，从而实现网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
2.ACL规则
一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则。设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。如果不匹配，则匹配下一条。一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配的规则，则设备不对报文进行任何处理。
配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号，规则编号决定了规则被匹配的顺序。例如，如果将步长设定为5，则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2，则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长，使规则之间留有一定的空间，用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外，ARG3系列路由器默认规则编号的步长是5。
自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。
3.ACL基本类型.

五、配置实例

实验拓补

配置客户端和服务器ip

pc1:192.168.1.1/24

pc2：192.168.1.2/24

server1:192.168.2.1/24

server2:192.168.3.1/24

2.配置路由接口ip

需求1配置：
配置接口acl过滤ip

基本acl范围：2000 ~ 2999

acl规则条目：默认起始序号为5，step为5（便于更改插入条目）

通配符：在acl中，可使用通配符掩码指定特定网络或者特定主机的范围，通配符中0对应ip地址不可变位，1对应ip地址中可变位。

- 单个ip地址通配符：0

- 一个网段中所有ip地址：0.0.0.255

acl方向：
inbound方向——当接口收到数据包时执行ACL
outbound方向——当设备从特定接口向外发送数据时执行ACL 

需求2配置：


测试：
需求1：

成功
需求2：

成功

标题二、NAT

1、NAT原理及作用

作用：通过对网络地址转换，实现内网地址和公网地址的互相访问

原理：主要应用在企业出口路由器上，从内网出去时将源地址转换为企业公网ip，从公网中回来时将目的地址及公网地址转为对应的内网地址。

2、NAT分类

1.静态NAT：私网地址和公网地址一对一映射，局限性是需要每一个私网ip对应一个公网ip，所以需要公网ip比较多。

2.动态NAT：将公网ip划出一个公网ip池，当内网地址访问外网时随机分配一个公网对应ip，访问完毕后回收公网ip。

3.NAT实验（Easy-ip）

1.实验目的
PC1和PC2通过企业路由器后可以访问外网，运营商路由器不可操作，只能在企业的出口路由器做nat，使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。
2.实验拓扑

配置PC1：

配置R2:

R1上添加ACL并应用NAT来实现PC1，2利用公网地址访问外网：

验证：

成功