ACL&NAT

ACL（ access control list）访问控制列表，用来实现数据包识别功能

实现：包过滤防火墙，NAT（network address translation，网络地址转换），

QoS（Quality of Service。服务质量）的数据分类，路由策略和过滤，按需拨号

包过滤，对进出的数据包逐个过滤，丢弃或允许通过，packet-filter，需在接口下调用（默认允许所有）

结合其他协议（nat qos 策略路由等）实现地址范围匹配（默认拒绝所有）

ACL应用于接口上，每个接口的出入双向分别过滤

仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤

ACL的标识

利用数字序号标识访问控制列表:

   基本访问控制列表，数字序号2000~2999

   高级访问控制列表，数字序号3000~3999

   基于二层的访问控制列表，数字序号4000~4999

可以给访问控制列表指定名称，便于维护

--------------------

基本ACL：只能匹配报文的源ip地址

高级ACL：能匹配报文的源、目标ip，源、目标端口等

二层ACL：能匹配二层的mac地址

---------------

基础acl

acl basic 2000

rule deny source 192.168.8.2 0.0.0.0-----基本acl只能匹配源地址，这条命令代表精确匹配，拒绝源地址访问

packet-filter 2000 inbound------包过滤，区分入方向和出方向，需要进入接口，将acl调用在接口入方向

display acl 2000

-------------

高级acl

acl advanced 3005

rule deny tcp source 192.168.2.0 destination 172.16.1.2 0 destination eq telnet\23

int g0/0

packet-filter 3005 inbound

---rule deny icmp source 192.168.8.3 0 destination 172.16.1.3 0

一个ACL里面可以有多条规则，当有多条rule规则，从上往下依次执行（按编号）

time range name1 08：00 to 17：00 daily（每天生效）

--------------

二层acl

拒绝源mac报文进入R1

acl mac 4005

rule deny source-mac mac1 ffff-ffff-ffff(表示精确匹配此字段)

[R1]int g0/0

packet-filter mac 4005 inbound

NAT

(network address transition，网络地址转换)在路由器中，将内网IP地址固定地转换为外网IP地址

静态NAT

配置一(一对一)：

int g0/1

nat static enable

int static outbound 192.168.8.2 12.1.1.1

配置二：

acl basic 2000 （可选，如不配置acl默认允许所有）（指定允许nat转换报文的范围）

rule 0 permit source 192.168.8.0 0.0.0.255

nat address-group 1（定义公网地址池范围，12.1.1.5-12.1.1.8）

address 12.1.1.5 12.1.1.8

int g0/1（在接口下配置nat）

nat outbound 2000 address-group 1 no-pat（no-pat不进行端口转换，静态一对一转换）

dis nat static

动态NAT

network address port translation，网络地址端口转换，支持N个用户同时转成几个公网地址

acl basic 2000

rule 0 permit source 192.168.8.0 0.0.0.255

nat address-group 1

address 12.1.1.5 12.1.1.5（只有一个公网地址）

int g0/1（公网接口，在接口下配置nat）

nat outbound 2000 address-group

1-65535用端口区分不同用户，外网无法访问内网

dis nat session brief

基于接口Easy-IP NAT

适用于接口地址不固定的接口，目前最常用

acl basic 2000

rule 0 permit source 192.168.8.0 0.0.255

int g0/1

nat outbound 2000

直接使用出接口的ip地址作为转换后的源地址，不用预先配置地址池，适用于拨号接入internet或动态获得ip地址的场合

服务器端口映射

将内网服务器的端口映射到公网，外网通过访问公网端口访问内网服务器

int g0/1

nat server protocol tcp global current-interface（ip地址） 23 inside 192.168.8.4 23（（将内网址的端口映射成外网端口）

NAT  ALG

application level gateway ，应用层网关，主要完成对应用层报文的解析和处理，对FTP等上层应用需要做ALG处理

通过开启指定应用协议类型的ALG功能，实现对应用层报文数据载荷字段的分析和NAT处理

nat alg {all，dns，ftp....}默认所有协议类型的NAT ALG功能均处于开启状态

reset nat session