ACL与NAT协议

ACL 访问控制列表

• ACL是由一系列permit或deny语句组成的、有序规则的列表
• ACL是一个匹配工具，能够对报文进行匹配和区分

1.匹配ip流量

2.在Traffic-filter中备调用

3.在NAT中被调用

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是这条规则相对应的处理动作

ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理

ACL种类：

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）
• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

acl 2000 建立acl表格2000

书写规则

rule 编号 处理动作 source 通配符

编号：规则的序号

处理动作：permit允许或者deny拒绝

source ip：源ip地址

通配符： 表示了地址的范围

示例：

rule 5 permit source 192.168.1.0 0.0.0.255

应用规则：

进入端口应用规则

基本ACL可以基于哪些条件来定义规程：

1.源IP地址：允许或拒绝特定来源的流量。

2。分片标记：用于识别分片的数据包。

3.时间段信息：定义规则生效的时间段。

高级ACL可以基于哪些条件来定义规程：

1.源IP地址和目的IP地址：允许或拒绝特定来源或目的地的流量。

2.IP协议类型：如TCP、UDP等，用于区分不同类型的流量。

3.端口号：如TCP或UDP的源端口和目的端口，用于识别特定的应用程序流量。

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向，只能调用一个acl

2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一旦被某rule匹配，就不再继续向下匹配

4、用来做数据包访问控制时，默认隐含放过所有(华为设备)

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址

NAT协议

网络地址转换技术

• 私网ip地址

• NAT技术原理

---

1.出去的时候:★★★★★

将源ip地址 由私网改成了公网

2.回来的时候:★★★★★

将目的ip地址 由公网改回私网

---

• 子网掩码的作用： 连续的1 代表网络位

• 通配符掩码：

  可以0 1穿插

• 静态NAT

  工程师手动将一个私有地址和一个公网地址进行关联，一 一对应，缺点和静态路由一样

配置好地址：

在企业出口路由器上的 g0/0/1  口配置
int g0/0/1
ip address 200.1.1.1 255.255.255.0 
nat static enable
nat static global 200.1.1.100 inside 192.168.1.1 
#注意不能直接使用 接口地址200.1.1.1

dis nat static
<Huawei>dis nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.1.1.100/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----

• 动态NAT

nat address-group 1 200.1.1.10 200.1.1.15
#建立地址池
acl number 2000  
rule 5 permit source 192.168.1.0 0.0.0.255 
#给需要地址转换的 网段添加规则

int g0/0/1
nat outbound 2000 address-group 1 no-pat
#添加规则

• NAPT
  NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

配置好ip地址

企业出口路由器需要配置默认路由

在企业出口路由器上 的g0/0/1 口配置
int  g0/0/1
ip address 200.1.1.1 255.255.255.0 
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat static enable

• Easy-IP

acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255
nat outbound 2000


display nat session all

ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

匹配规则

1、一个接口的同一个方向，只能调用一个acl

2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一旦被某rule匹配，就不再继续向下匹配

4、用来做数据包访问控制时，默认隐含放过所有(华为设备)