ACL与NAT

一.ACL：

1：ACL作用：

1.过滤流量，然后匹配规则后判断该通过或者拒绝

2.在NAT里匹配感兴趣的流量

ACL有两个动作，permit和deny，permit相当于石子，在漏网里；deny相当于石灰粉，即过滤掉了，不在漏网中。

访问控制列表:

提供了类似于滤网的功能，它可以精准匹配到想要抓取的报文或者流量，然后在不同的场景下，去应用ACL的功能。

 2：ACL的组成：

ACL是由多条不同的规则组成的，这些规则组成了一个滤网的功能，通过permit/deny的动作，来决定是抓取还是不抓取。

 rule 5 permit source 192.168.1.0 0.0.0.255 

rule 10 deny source 192.168.2.0 0.0.0.255 

• rule是规则关键字
• 后面的数字5，10是规则编号
• source是指根据源来进行过滤的，是过滤的条件，当然也可以有其他的一些过滤条件
• 192.168.1.0是网络前缀，后面紧跟的0.0.0.255是通配符

子网掩码  1111   0000（主机）  配置IP地址的时候用，连续1来表示网络位

反掩码      0000   1111  路由协议（ospf协议）连续0 表示网络位(必须是连续的)

通配符掩码  可以0 1 穿插  **0不可变 1可变**（可以不连续）

 3：ACL分类：

      基本ACL：编号范围2000-2999，可以通过匹配源IP进行过滤。

      高级ACL：编号范围3000-3999，可以通过匹配源目IP、源目端口、协议等进行匹配。

      二层ACL：编号范围4000-4999，可以通过匹配源目MAC等进行匹配。

4.ACL的配置实验 ：

基本ACL：

命令： 

acl  2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0 
#默认编号5  拒绝  来自192.168.1.1 的流量

int  g0/0/1
traffic-filter outbound acl 2000
#数据流向，在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL

没有被acl匹配数据默认采用permit动作
基本acl需要调用在离目的设备最近的接口上

 1.对AR1路由器进行配置：

2.检验：

 client1不能ping通server1

client2可以ping通server1 

  高级ACL： 

命令：
acl number 3000  #建立acl 
 rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port  eq www（80）

# 不让 192.168.1.1去访问192.168.2.1的tcp 80端口（www web 服务）

添加文件根目录： 

连接失败

二：NAT： 

一：NAT介绍：

网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。

企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中路由。 

NAT一般部署在连接内网和外网的网关设备上。 

从私网---》外网       将源私网地址改成源公网地址

外网---》内网           将目的公网改成目的私网地址

 二.静态NAT和动态NAT:

1.静态NAT:

   静态NAT是通过手工指定，将一个公网地址和一个私网地址映射，是一对一的关系。

静态NAT配置：
 

方式一：
[r1]nat static global 201.1.100.1 inside 192.168.1.1 ---配置静态NAT映射
[r1-GigabitEthernet0/0/0]nat static enable ---接口下使能静态NAT功能
方式二：
[r1-GigabitEthernet0/0/0]nat static global 201.1.100.1 inside 192.168.1.1 ----直接在接口下配置静态NAT映射

2.动态NAT：

动态NAT基于地址池来实现私有地址和公有地址的转换。

 

动态NAT配置：

       
[r1]nat address-group 1 201.1.100.1 201.1.100.5 ---创建地址池
[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat ----接口出方向配置NAT动态转换

三.NAPT：

1.介绍：

     NAPT——网络地址端口转换，可以通过使用一个公网地址的不同端口号，来映射不同的私网地址和端口号，提升了公网地址的使用效率以及可以支持内网终端上网的并发数量。

    NAPT配置：

[r1]nat address-group 1 201.1.100.1 ---创建地址池
[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1  ----接口出方向配置NAPT

 四.Easy IP：

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

3.Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。

Easy IP配置：

[r1]acl 2000 ----创建基本acl 2000
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0 ----匹配要转换的内网地址
[r1-acl-basic-2000]rule 10 permit source 192.168.2.1 0 ----匹配要转换的内网地址
[r1-GigabitEthernet0/0/0]nat outbound 2000  ----接口出方向配置easy ip
----------------------------------------------------------------------------
[r1-GigabitEthernet0/0/0]nat outbound 2000 inrterface loopback 0 ----也可以引用loopback接口作为公网地址在接口出方向做NAT转换