HCIA知识点＜6＞--ACL与NAT

上期说到了VLAN，这期讲一下访问控制列表（ACL）与网络地址转换(NAT)

---

---

ACL：访问控制列表

1. 访问控制-------在路由器的入或者出接口上，匹配流量，之后产生动作-----只有允许或拒绝  
2. 定义感兴趣流量------帮助其他策略去抓流量

匹配规则：至上而下，逐一匹配，上条匹配按照上条执行，不在查看下条；在思科体系中，末尾隐含拒绝所有，在华为体系中，末尾隐含允许所有。

分类：

标准-----仅关注数据包中的源IP地址

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

标准acl：由于标准ACL仅关注数据包中的源IP地址，故调用时尽量靠近目标，避免对其他地址的访问被误杀。

[R2]acl 2000 创建acl 编号为2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0  规定 拒绝源IP为 192.168.1.2

在匹配地址时，需要使用通配符

ACL的通配符和OSPF的反掩码唯一区别在于 可以进行0  1  穿插

[R2-acl-basic-2000]rule  permit source 192.168.2.0 0.0.0.255

规定 允许 192.168.2.0/24网段通过  

[R2-acl-basic-2000]rule permit source  any  规定允许所有网段通过  

[R2]interface g 0/0/1 进入需要调用acl的接口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上 调用 acl2000

扩展-----关注数据包中的源IP 目标IP  协议号 端口号

由于扩展ACL对流量进行了精确匹配，故可以避免误杀，因此，调用时，尽量靠近源。

.

1.关注数据包中源IP 目标IP

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0  

规定 拒绝 源为 192.168.1.2 向 目标 192.168.3.2 的IP行为

[R1]interface g 0/0/1 进入相关接口

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 在该接口的进入方向上 调用acl3000

1. 在关注源IP 目标IP 的同时，再关注目标端口号

   Telnet 远程登录  基于TCP 23端口

   条件：

   1.登录设备与被登录设备之间必须可达

   2.被登陆设备需要开启telnet设定

   [R1]aaa 开启aaa服务

   [R1-aaa]local-user MXY privilege level 15 password cipher 123456   创建一个名为MXY的账户，权利等级为15 密码123456

   [R1-aaa]local-user MXY service-type telnet   定义该账户类型为telnet

   [R1]user-interface vty 0 4   创建虚拟通道  开放五个窗口

   [R1-ui-vty0-4]authentication-mode aaa   定义 该通道服务于aaa服务

   [R1-acl-adv-3000]rule  deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23   规定  拒绝 源 192.168.1.10 向 目标 192.168.2.1 基于tcp协议的端口号为23行为  

      [R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0      规定 拒绝 源 192.168.1.10 向目标 192.168.1.1 的icmp行为  

NAT：

公有------全球唯一性，可以在互联网中通讯，付费使用

私有------本地唯一性，不可在互联网中通信，免费试用

A类：10.0.0.0---10.255.255.255

B类：172.16.0.0-----172.31.255.255

C类：192.168.0.0---192.168.255.255  

2.NAT----网络地址转换，

在边界路由器上，进行公有和私有IP地址间的转换

NAT的分类：静态NAT  动态NAT  NAPT  端口映射

华为设备配置NAT必须在边界路由起的出接口上进行配置。

静态NAT  

通过配置在边界路由器上建立维护一张静态地址映射表，静态地址映射表反映了公有IP地址和私有IP地址之间一一对应的关系。

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2   将 公网地址 12.1.1.3  和 私网地址 192.168.1.2 相互映射

[R2]display  nat  static  查看nat映射关系  

动态NAT：动态NAT和静态NAT的最大区别就在于地址映射表的内容是可变化的，而不是写死的，所以，冬天NAT不再是一对一的关系而是实现多对多的转换。

动态NAT在同一时间，还是一个公网IP对应一个私网IP。所以当上网需求较大时，便只能排队使用，造成延时上升。

为了解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上，再维护一张源端口和私网地址的映射关系的表，因为端口号的取值范围时0-65535，即65536个 ，所以一个公网地址同时支持通过的数据包数量最大为65536个。当上网需求非常大时，一个公网地址可能不够用了，我们也可以同时使用多个公网地址，从而实现65536的倍数增长，形成多对多。

像这种以端口进行分辨的一对多，我们称之为----NAPT

一对多的NAPT在华为体系中又被称之为 EASY-IP  

1. 一对多：

   [R2-acl-basic-2000]rule  permit  source 192.168.0.0 0.0.255.255  创建acl2000，定义源IP以 192.168开头的所有地址 为感兴趣流量

   [R2-GigabitEthernet0/0/1]nat outbound 2000  在边界路由起的出接口的出方向上，将acl2000调用于NAT  

   多对多：

    [R2]nat address-group 1 12.1.1.3 12.1.1.10  创建公网地址池，其中包含 12.1.1.3----12.1.1.10  

   [R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  将acl2000抓捕的流量交给公网地址池1 进行nat转换

   No-pat  ---添加 则为静态多对多  不添加 则为 动态多对多

   静态多对多---多个一对一

   动态多对多---多个一对多  

   端口映射：

   [R2-GigabitEthernet0/0/1]nat  server  protocol  tcp global current-interface 80 inside 192.168.1.10 80  将该接口的80端口  基于协议的tcp 协议映射于 私网地址 192.168.1.10 的80端口  

   [R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80    将该接口的8080端口 基于协议的tcp协议 映射于 私网地址 192.168.1.20的80端口