计算机网络基础第十章：ACL、NAT

一、ACL

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

ACL概述：

ACL是由一系列permit或deny语句组成的、有序规则的列表

ACL是一个匹配工具，能够对报文进行匹配和区分

ACL应用：

匹配IP流量
在Traffic-filter中被调用

在NAT(Network AddressTranslation)中被调用

在路由策略中被调用

在防火墙的策略部署中被调用

在QoS中被调用

ACL工作原理：

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理（拒绝/接收）

ACL的种类：

编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)

编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

ACL的组成：

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

实验：

​

客户端设置 

​

​

配置服务器

​

​

 配置路由器端口IP地址

​

1.建立acl   2调用acl
acl  2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0 
#默认编号5  拒绝  来自192.168.1.1 的流量

int  g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向

​

​

​

 实验成功

二、NAT

NAT:网络地址转换

功能：将私网地址转换为公网地址

 NAT
pc1是某公司内网电脑 地址
192.168.1.1 私网地址无法访问百度的
200.1.1.1
需要借助 NAT 地址翻译技术
pc1发送数据包
源ip地址: 192.168.1.1
目的IP地址: 200.1.1.1
数据经过路由器，路由器使用 NAT机器重新封装pc1
的数据包
源地址不变 目的改成公网地址
源ip地址: 200.1.1.2
目的IP地址: 200.1.1.1
由于都是公网地址就可以 访问百度了，百度服务器收到包后会回复一个数据包
源ip地址: 200.1.1.1
目的地址: 200.1.1.2
百度的回包 经过路由器
重新打包
源地址不变
目的地址变成私网地址
源ip地址: 200.1.1.1
目的地址: 192.168.1.1