ACL
1…访问控制列表,由permit或deny组成,对于经过自己的报文进行匹配和区分,是一个匹配用的工具
2.ACL应用,
匹配IP流量
在traffic-filter中被调用
在NAT中被调用
3.分类
利用数据标识 利用名称标识
Basic ACL 2000—2999 可以对源IP地址进行匹配
Advanced ACL 3000—3999 可以对源IP ,目标IP,端口,协议进行匹配
二层ACL 4000—4999
自定义ACL 5000—5999
4 通配符
网络掩码:用于只是ip地址中,哪些比特是网络部分,哪些是主机部分,网络掩码中的1便是网络部分,0表示主机部分
通配符:用于表示ip地址中,哪些比特位需要严格匹配,哪些无所谓,1位比特无需匹配,0位比特严格匹配
5,配置
acl 2000
rule permit/deny source 192.168.1.0 0.0.0.255
int g0/0/0
traffic-filter inbound/outbound
配置高级时
acl 3000
rule permit ip souce 192.168.1.1 0 destination 10.0.0.1 0 目标地址 原地址
Rule permit tcp source 192.168.1.0 0.0.0.254 destination 10.0.0.1 0destination-port eq 80
Tcp协议
int g0/0/0
traffic-filter inbound/outbound
NAT
1,nat的主要原理是通过解析IP报文头部,自动替换报文中的源地址或者目的地址,实现私有网IP访问共有网的目的,私有网转换为共有网IP的过程对用户来说是透明的
优缺点
优点:缓解公网地址紧缺,解决ip地址空间冲突和重叠问题,网络扩展性高,本地控制更容易,内网记过相关操作对外不可见增加安全性
缺点:存在转发延迟,端到端寻址困难,某些应用不支持nat,nat产生的表项需占用设备内存空间设备性能等问题
分类
静态—一个IP转换一个IP
Nat static global 100.1.1.10 inside 192.168.1.1 静态net
动态nat—基于地址池
Nat address-group 1 200.1.1.100 200.0.0.200
Acl 2000
Rule permit source 192.168.1.0 0.0.0.255
Intg/0/1
Nat outbound 2000 add-group 1 (no-pat)默认是napt 加上就是动态
NAPT
网络地址端口转换