ACL与NAT的原理与配置

ACL和NAT

ACL是什么

ACL：访问控制列表
访问控制列表(ACL)：是一种基于数据包的过滤访问控制技术

ACL的概述

它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。
访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段。

ACL的两种应用

1：应用在路由协议…匹配相应的路由条目
2：应用在接口…过滤数据包
3：NAT 。IPSEC VPN 。QOS。…匹配感兴趣的数据流

ACL的工作原理

当数据包从接口经过时，由于接口启用acl，此时路由器会对报文进行检查，然后做出相应的处理

ACL种类

2000-2999：基本ACL（依据依据数据包当中的源IP地址匹配数据）
3000-3999：高级ACL（依据数据包当中源、目的IP，源、目的端口、协议号匹配数据）
4000-4999：二层ACL，MAC、VLAN-id、802.1q

ACL访问控制列表的应用原则

基本ACL：尽量用在靠近目的的地点
高级ACL：尽量用在靠近源地的地点

ACL的匹配规则

1、一个接口的同一个方向，只能调用一个acl
2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行
3、数据包一旦被某rule匹配，就不再继续向下匹配
4、用来做数据包访问控制时，默认隐含放过所有(华为设备)

ACL配置模型

1：配置每个设备信息
2：进入路由器，配置每个端口的网关

int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/3
ip add 192.168.3.254 24

3:这里我们让设备1无法连接服务器1，需要在路由器的G1号口配置ACL协议

4：最后用服务器连接一下每个客户端，这里服务器1是无法连接客户端1的，只能给客户机2发送数据报文

注释：因为我们在路由器的G1号口设置了ACL表协议，让ip地址为192.168.1.1的设备无法通过

什么是NAT

NAT：网络地址转换
NAT是英文Network Address Translation的简写，中文意思为”网络地址转换“。它是一个IETF标准，允许一个整体单位机构以一个公用IP地址出现在互联网上。通俗讲就是把公司所有的电脑都能在一个公用IP地址下使用，能够一定程度上解决局部公用IP地址不足问题。

NAT的运行原理

如图：

nat数据包从内网到外网时，会转换源IP地址，由私网地址转换成公网地址

数据包从外网到内网时，会转换目的IP地址，由公网地址转换成私网地址

配置静态NAT模型

1：配置好PC机的信息，PC机在同一个网段

2：进入AR3，配置G0/0/0的网关

4：进入AR3，配置G0/0/1的地址信息以及NAT协议

这里我们将连接外网的接口设置成NAT，这样内部PC访问外网，通过G0/0/1口会被转换成共用的200.1.1.1 24 这个地址
5，设置成功后拿PC机Ping一下外网地址，就会是通的

动态NAT配置

过程为此过程，但一般我们用不到，所以就不做详细注解了，需要注意的是做之前要先关闭静态路由器才能正常运行

总结

NAT的两种模式

静态NAT：
通过将内网地址转换成公网地址进行连接外网
动态NAT：
通过建立公网地址池，然后在内网访问外网时，自动将内网IP转换成公网池里的地址进行连接