ACL和NAT

一、ACL

        1. ACL的定义

                ACL指的是访问控制列表（Access Control List），它用于控制网络中的资源访问权限。ACL可以应用于网络设备，如路由器和交换机，以及操作系统和应用程序等。

        2. ACL的应用

                1. 过滤流量，然后匹配规则后判断该流量 通过或拒绝

                2. NAT 匹配感兴趣的流量

        3. ACL的分类

                基本acl：acl 2000-2999 依据数据包当中的源IP地址匹配数据

                高级acl：acl 3000-3999 依据数据包当中源目的IP，源目的端口、协议等进行匹配

                二层acl：4000-4999 依据源目的MAC等进行匹配

        4. ACL的格式

                ACL基于一组规则来决定哪些用户或哪些网络组件可以访问特定的资源。

        rule permit | deny source 匹配的条件（ip地址） 通配符掩码(用来控制匹配的范围）

• rule：规则关键字
• 数字：规则编号
• permit | deny：表示规则的动作，可以是允许或拒绝流量。
• source：指定源地址或地址范围。

        rule 5   premit  source 192.168.1.0   0.0.0.255

        rule 10 deny source 192.168.10.0    0.0.0.255

        5. 子网掩码、反掩码和通配符

                子网掩码：连续1来表示网络位，0表示主机位，配置ip地址的时候用

                反掩码：连续0来表示网络位，1表示主机位

                通配符：0和1可以不连续。0和1可以穿插，其中1代表可变位，0代表不变

二、NAT

        1. NAT的定义

                NAT（网络地址翻译，Network Address Translation）是一种网络技术，用于将一个网络地址转换为另一个网络地址。

        2. NAT的工作原理

                去公网，将源ip地址由私网改成公网

                回私网，将目的公网地址改成目的私网地址

        3. NATPT（端口映射）

                NAT Server：内网服务器对外提供服务，针对目的ip和目的端口映射

        4. Easy-IP

                1. 使用列表匹配私网的ip地址

                2. 将所有的私网地址映射成路由器当前接口的公网地址

三、操作实践

        1. 实践一（ACL）

                配置客户机、服务器和路由。如图：

        第一步：配置客户机和服务器

        第二步：在R1中，配置接口G0、1、2的ip地址

        第三步：创建基本acl列表，配置拒绝192.168.1.1的流量

[Huawei]acl 2000                    //创建基本acl列表

[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //默认编号5 拒绝来自192.168.1.1的流量

        第三步：进入接口G1，配置数据流向

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

        第四步：创建高级表。其中，默认编号为5，源地址192.168.1.1，0通配符掩码，目标地址192.168.2.1，0通配符掩码，www端口号为80

[Huawei]acl number 3000        //创建高级表

[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www

        第五步：把acl 3000配置到G1端口之下,并在接口上配置基于ACL对报文进行过滤。

​
[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]undo traffic-filter outbound    //删除接口调用

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000    //将acl 3000配置到接口出方向

​

        traffic-filter命令用来在接口上配置基于ACL对报文进行过滤。

         第六步：查看信息

        2. 实践二（NAT）

                私网到公网的配置。如图：

        第一步：配置PC1的IP地址、子网掩码和网关

        第二步：配置企业出口，进入G1口，先配置ip地址，再启用静态NAT功能，最后配置静态NAT，将全局（公共）IP地址200.1.1.100映射到内部（私有）IP地址192.168.1.1。

        第三步：退出系统，查看源ip地址和目标地址

        第四步：进入系统，创建了一个名为 "1" 的地址组，并将 IP 地址范围从 200.1.1.10 到 200.1.1.15 添加到该地址组中。创建2000acl表，再创建了一个规则，允许源地址为 192.168.1.0/24 的数据通过。

        第五步：进入接口G1，访问acl2000表出去并使用地址组1作为NAT转换的目标地址。

                no-pat参数表示不使用端口地址转换。

        第六步：测试ping命令