目录
一、什么是ACL
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
二、ACL的应用
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
应用在路由协议-------匹配相应的路由条目
三、ACL的工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
四、ACL实验
首先我们先配置好基础配置
然后进入AR1
进入系统模式sys,改名R1,sys R1
先分别进入g0/0/0,g0/0/1,g0/0/2接口,设置好接口地址
再进入系统模式下,创建ACL列表和设置规矩
acl 2000,创建一个2000的acl列表
rule 5 deny source 192.168.1.1 0拒绝来自192.168.1.1的流量
再返回g0/0/0接口,因为要过滤掉一个主机的流量,但是要接收到另一个主机的数据流量,所以要在接收口进行设置,避免多余垃圾流量进入路由器拆包解析,节省硬件成本 ,traffic-filter outbound acl 2000
我们用服务器去Ping两台主机,主机1的流量已经拒绝成功,Ping不通,主机2的流量依然可以顺利的传输过来。
五、什么是NAT
一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术。
六、NAT的工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址。
七、NATPT
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
八、Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址