静态NAT及ACL

目录

1、静态NAT

2、动态NAT

３、NAPT（网络地址端口转换）

4、Easy　IP转换成出接口地址

５、NAT的作用，以及数据包经过NAT设备从内网到外网和从外网到内网的转换过程

二、ACL

1、ACL定义：

２、使用ACL的目的

3、ACL的分类

４、使用ACL的步骤：

１.入方向

２.出方向

---

1、静态NAT

静态NAT实现了私有地址和共有地址的一对一转换，一个公网地址对应一个私网地址

2、动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换，转换是随机的。

３、NAPT（网络地址端口转换）

NAPT 允许多个私网地址转换到同一个公有地址的不同端口，私网利用端口号来区分。

4、Easy　IP转换成出接口地址

利用端口号来识别不用的私网地址，NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。

５、NAT的作用，以及数据包经过NAT设备从内网到外网和从外网到内网的转换过程

用于实现私有网络和公有网络之间的互访。
从内网到外网：数据包的源IP由私网IP转换成公网IP
从外网到内网：数据包的目的IP由公网IP转换成私网IP

二、ACL

1、ACL定义：

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

２、使用ACL的目的

ACL作为一个过滤器，设备通过应用ACL来阻止和允许特定流量的流入和流出，如果没有它，任何流量都会自由流入和流出，使得网络容易受到攻击。为保证财务数据安全，企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问，同时允许总裁办公室访问财务服务器。为了保护企业内网的安全，在路由设备上应用ACL可以封堵网络病毒常用的端口，防止Internet上的恶意流量入侵。如下图所示

3、ACL的分类

随着ACL技术的发展，其种类越来越丰富，根据其不同的规则和使用场景，常用的可分为以下几类：

• 基本ACL：
• 基本ACL规则只包含源IP地址，对设备的CPU消耗较少，可用于简单的部署，但是使用场景有限，不能提供强大的安全保障。
• 高级ACL：

        相较于基本ACL，高级ACL提供更高的扩展性，可以对流量进行更精细的匹配。通过配置高级ACL，可以阻止特定主机或者整个网段的源或者目标。除此之外，还可以使用协议信息（IP、ICMP、TCP、UDP）去过滤相应的流量。        

４、使用ACL的步骤：

• 设置相应的ACL规则
  为ACL设置相关规则的时候，需要了解入口流量与出口流量，如下图所示：入口流量指的是进入设备（以路由器为例）接口的流量（无论来源是外部Internet还是内部网络），同理，出口流量指的是从设备接口流出的流量。

        当外部Internet访问内部网络时，通过路由器接口2的入口流量，其源IP地址为外部的公网IP；而当内部网络需要访问外部网络时，通过路由器的接口1的入口流量，其源IP地址则为内网的IP。
将ACL应用在相应的设备接口的特定方向（inbound/outbound）上。
规则设置完成后，需要将ACL应用在设备的接口上才能正常工作。因为所有的路由和转发决策都是由设备的硬件做出的，所以ACL语句可以更快地执行。

１.入方向

• ACL应用在设备接口入方向 当接口收到数据包时，先根据应用在接口上的ACL条件进行匹配，如果允许则根据路由表进行转发，如果拒绝则直接丢弃。

２.出方向

• ACL应用在设备接口出方向 报文先经过路由表路由后转至出接口，根据接口上应用的出方向ACL条件进行匹配，是允许permit还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝就直接将数据包丢弃了。

总结：

• 入方向是先匹配后路由；出方向是先路由后匹配；