ACL和NAT介绍

•  ①ACL两个基本作用（也可以当作原理用）
•   ②ACL基本原理
•   ③ACL种类

             2000-2999   源目的IP地址    目的地址近

             3000-3999   源、目的（ IP  端口   协议号）  目的地址远   

④ACL命令配置步骤

• 子网掩码：1代表网络位，0代表主机位 配置ip地址的时候使用。连续1代表网络位
• 反掩码：0代表网络位，1代表主机位 路由协议（ospf协议，）。连续0代表网络位
• 通配符掩码：可以0与1穿插，0不可变，1可变（24位固定不变，后8位0-255）0.0.0.255

• ACL的组成：每条语句就是一条规则，规则就是处理的动作
• rule premit （deny）source   1.1.1.1  ## 添加规则，允许或者拒绝 源地址为1.1.1.1的地址
• traffic-filter oubound（inbound） ACL 2000 ##在入口或者出口调用acl2000的规则
• rule deny tcp source 192.168.1.0 0 destination 192.168.2.1 0 destination-port eq www

一实验目的 

借用ACL告诉路由器拒绝或接受那些数据包；pc14不能访问服务器，pc13可以访问服务器

①看拓扑图

  

 ②给主机pc15配置网段

 ②配置路由器接口地址并检测PC14、PC15是否都可以访问server 

③测试通信

④在路由器上设置ACL ，并在g/0/01口设置不允许192.168.1.1访问192.168.3.1服务器。                 如下图可以看出配置完ACL后PC14不能访问server，PC13依然可以访问server

二 NAT

作用：实现内网地址和公网地址的互相访问

途径：主要应用在企业出口路由器上，从内网出去时将源地址转换为企业公网ip，从公网中回来时将目的地址及公网地址转为对应的内网地址。

原理：将内网地址和端口号    转换成合法的     公网地址与端口号，建立一个会话，与内外网主机

                                                                                                                         进行通信

一句话：让公司中的所有人使用一个公网地址上网

3.NAT功能
NAT不仅解决了IP地址不足的问题，而且还能够有效的避免来自网络外部的入侵，隐藏并保护网络内部的计算机。

①宽带分享：这是NAT主机最大的功能

②安全防护：NAT之内的PC端到internet上面时，他所显示的IP是NAT主机的公网IP，所以客户端段的PC就具有一定程度的安全性，外界在进行portscan（端口扫描）的时候，就侦测不到源客户端的pc。

优点：节省公有合法IP地址，处理地址重叠、增强灵活性、安全性

缺点：延迟增大、配置和维护的复制性，不支持某些应用（比如VPN）
 

  NAT   地址转换
        作用：通过对网络地址转换，实现内网地址和公网地址的互相访问

        原理：主要应用在企业出口路由器上，从内网出去时将源地址转换为企业公网ip，从公网中回来时将目的地址及公网地址转为对应的内网地址。

     NAT分类

        静态NAT：私网地址和公网地址一对一映射，局限性是需要每一个私网ip对应一个公网ip，所                            以需要公网ip比较多。（不如直接买公网IP）

        动态NAT：将公网ip划出一个公网ip池，当内网地址访问外网时随机分配一个公网对应ip，访                            问完毕后回收公网ip。

        

静态nat配置：

①进入企业出口路由器 static nat enable 开启静态nat

②nat static global 1.1.1. 1 inside 2.2.2.2将 静态 nat私网地址1.1.1.1对应公网2.2.2.2

动态nat配置：

①nat address-group 1 200.1.1.10 200.1.1.15  #建立动态nat地址池

②acl number 2000                                             #创建acl  2000

③rule 5 permit source 192.168.1.0 0.0.0.255    #设定规则来自192.168.1.0网段用户允许通过

④int g0/0/1                                                          #进入g0/0/1端口

⑤nat outbound 2000 address-group 1 no-pat   #将规则添加在出口

三  NAT功能

不仅解决了IP地址不足问题，而且还能够有效的避免来自网络外部的入侵，隐藏并保护网络内部的计算机。

①宽带分享：这是NAT主机最大的功能

②安全防护：NAT之内的PC端到internet上面时，他所显示的IP是NAT主机的公网IP，所以客户端段的PC就具有一定程度的安全性，外界在进行portscan（端口扫描）的时候，就侦测不到源客户端的pc。

优点：节省公有合法IP地址，处理地址重叠、增强灵活性、安全性

缺点：延迟增大、配置和维护的复制性，不支持某些应用（比如VPN）

NATPT

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

三easy-ip实验

①实验目的PC14和PC13通过企业路由器后可以访问外网，运营商路由器不可操作，只能在企业的出口路由器做nat，使得PC1和PC2通过出口路由器时转化为出口地址且端口号不一样用来识别是谁发送的数据。静态NAT

拓扑图

1、配置PC1和PC2地址，如下图 

② 配置路由器接口地址

 

 

③在企业出口路由器R1上添加ACL规则并在出口上应用nat，以此达到PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。 

 ④PC1和PC2是否可以通过nat访问外网，可以ping通。

四静态NAT将一个私有地址和一个公网地址进行关联