ACL与NAT

 1.背景：

          只有总裁办公室能访问财务，其它部门和外部不能访问，为保证公司财务数据安全，而研发的工具

2.ACL(Access Control List)访问控制列表

     工作原理:

            当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

作用

（1）过滤流量，然后匹配规则后判断流量通过或拒绝

（2）在NAT（网络地址转换Network Address Translation）里  匹配感兴趣的流量     

类型；

基本ACL   编号2000-2999   只能限制源ip地址

高级ACL   编号3000-3999   依据数据包中源.目的端口（软件 微信 qq).协议号匹配数据

二层ACL    编号4000-4999   MAC VLAN-id 802.1q(一般不用）

组成：

      由若干条permit或deny语句组成，每条语句就是该ACL的一条规则，每条语句中的permit（允许）或deny（拒绝）就是与这条规则相对应的处理动作。

 

 

 3.基本acl书写格式

acl 2000

rule permit(permit) source ip地址 通配符掩码

子网掩码的作用：：连续的1 代表网络位       配置IP地址时用
                                 255.255.255.0
                                11111111.11111111.11111111.00000000
反掩码： 连续的0  代表网络位                       路由协议（ospf协议）   

                                   0.0.0.255

                                  00000000.00000000.00000000.11111111
 通配符掩码：可以0 1穿插                             0不可变 1可变
 

 4.实验

 限制Client1流量，使它不能访问Server1。而Client2能访问

 

 AR1:

u t m

sys

sys R1

int g0/0/0

ip add 192.168.1.254 24

int g0/0/1 

ip add 192.168.2.254 24

int g0/0/2

ip add 192.168.3.254

q

acl 2000

rule deny source 192.168.1.1 0(默认规则5）

dis th(查看）

q

int g0/0/1

(基础acl最好离目的地近）

traffic-filter outbound acl 2000（流量匹配出口规则acl2000)

此时Client1不能访问Server1：

 

5.高级acl

int g0/0/1

undo traffic-filter outbound acl 2000(去除规则acl2000)

acl 3000

rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www

不让192.168.1.1去访问192.168.2.1的tcp80端口（www web 服务） 

dis th

q

int g0/0/0

高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源

traffic-filter inbound acl 3000

已不能访问

6。NAT

     网络地址转换(Network Address Translation)

把内网的私有地址，转化成外网的公有地址

多个私网用户可以公用一个公网地址

     从私网到外网将源私网地址改成源公网地址

     外网到私网将目的的公网改成目的私网地址

7.NATPT（端口映射）

 NAT Server：内网服务器对外提供服务，针对目的ip和目的端口映射

 可以让用户访问内网服务器

 内网服务器的相应端口映射成路由器公网ip地址的相应端口