简单了解ACL与NAT!

一.ACL

1.ACL的概述

ACL
访问控制列表，是由一系列permit和deny语句组成的（后面跟着条件列表）、有序规则的列表，它通过匹配报文的相关信息实现对报文的分类；

ACL本身只能够用于报文的匹配和区分，而无法实现对报文的过滤功能（此功能侧面可以说明ACL可以提高网络的安全性），针对AC所匹配的报文的过滤功能，需要特定的机制来实现（例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤），ACL只是一个匹配用的工具；

ACL除了能够对报文进行匹配，还能够用于匹配路由；

主要应用于流量过滤，实际上是一条一条规则的集合，是一种工具，可以应用在任何场合

2.ACL是什么

ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；
ACL还能够用于匹配路由条目。说了这么多，那么ACL到底是什么呢？下面就让我们从ACL的配置深入了解它吧。

（1）ACL的标识种类

①：利用数字标识
②：利用名称标识

具体分为以下四类

（2）ACL的匹配顺序

Rule:代表第一条，第二条
5:步长
permit：允许
deny：拒绝

（3）ACL的配置

这里需要提一点的是，为什么一般rule 5步长写5，而不是从1/2/3开始，这个没有固定的数字，如果说步长写5，临时想在中间插入一个条件，就可以在中间插入，如果是rule1/2/3，就没办法中间插入。

（4）wildcare：通配符

通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特为需要严格匹配，哪些比特位则无所谓

通配符通常采用类似网络掩码的点分十进制形式表示，但是汉语却与网络掩码完全不同

如上图，0：表示需匹配；1：表示无所谓

再举个通俗易懂的例子：

有两个特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any

二.NAT

1.NAT的技术背景

（1）IPV4地址耗尽

（2）局域网用户普遍使用是由IV4地址，如何访问公网？

（3）局域网中使用是由IPV4地址的服务器如何对公网提供服务？

（4）若需要对外隐藏内网的IP，同时内网的特定服务器有需对外提供服务该如何实现？

为了解决以上四个问题，产生了NET网络地址转换技术，即把私网ip地址转换成公网ip地址，从而让私网ip地址可以访问公网ip地址，可以大大的节省ipv4的地址。

这里需要说明一个公网IP地址和私网IP地址的区别

公网地址

公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的 唯一-性,公网地址由IANA ( Internet Assigned Number Authority )这个国际组织负责分配。一台网络设备如果需要使用公网地址,就必须向ISP ( Internet Service Provider )或注册中心申请。

私有地址

为了满足- -些实验室、公司或其他组织的独立于Internet之外的私有网络的需求, RFCA ( Requests For Comment ) 1918为私有使用留出了三个IP地址段。私有 地址不能在Internet上被分配,因而可以不必申请就可以自由使用。

2.NAT是什么

NAT（Network Address Translator）的主要原理是通过解析IP报文头部，自动替换报文头中的源地址或目的地址，实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。

（1）NAT的优缺点

优点

①缓解公网地址紧缺问题
②解决IP地址空间冲突或重叠的问题
③网络扩展性更高，本地控制也更容易
④内网结构及相关操作对外变得不可见
⑤增加了安全性

缺点

①存在转发延迟
②端到端寻址变得困难
③某些应用不支持NAT
④NAT产生的表项需占用设备的内存空间
⑤设备性能问题

（2）NAT的类型

① 静态NAT

实现了私有地址和公有地址的一对一映射；
一个公网IP只会分哦诶给唯一且固定的内网主机

② 动态NAT

是基于地址池来实现私有地址和公有地址的转换

③ NAPT（网络地址端口转换）

允许多个内部地址映射到同一个公有地址的不同端口。

④ Easy Ip

允许将多个内部地址映射到网关接口低智商的不同端口