ACL访问控制列表和NAT网络地址转换

一、ACL 概述
1、访问控制列表ACL：是由一系列permit或deny语句组成的、有序规则的列表，它通过匹配报文的相关信息实现报文的分类。
2、ACL本身只能够用于报文的匹配和区分，而无法实现对报文的过滤功能，针对ACL所匹配的报文的过滤功能，需要特定的机制来实现（例如：在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤），ACL只是一个匹配用的工具。
3、ACL除了能够对报文进行匹配，还能够用于匹配路由。
4、ACL是一个使用非常广泛的基础性工具，能够被各种应用或命令所调用。

二、ACL的应用
1、匹配IP流量（可基于源，目IP地址，协议类型，端口号等元素）
2、在Traffic-filter中被调用。
3、在NAT中被调用
4、在路由器由策略中被调用。
5、在IPSec VPN中被调用。
6、在防火墙策略部署中被调用。
7、在QoS中被调用

三、什么是ACL
1、ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；ACL还能够用与匹配路由条目。

2、如何标识ACL
①利用数字标识ACL
②利用名称标识ACL
③华为设备上的种类

3、ACL的分类
1）基本访问控制列表
①只能够对IP头部的源IP地址进行匹配
2）ACL的匹配顺序

3）ACL的配置：基本ACL
①使用编号创建一个基本ACL，并进入ACL视图：
[Huawei] acl num
[Huawei-acl-basic-num]
基本ACL编号的范围是2000-2999
②创建一个规则：
[Huawei-acl-basic-num] rule 5 {permit/deny}source src-address wilcard
（注：在一个ACL中可以创建一条或多条rule都有一个ID，该ID可由系统自动分配，也可以手工分配，rule按ID由小到大的顺序排列。）

4）Wildcard（通配符）
①通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位则无所谓。
②通配符通常采用类似网络掩码的点十进制形式表示，但是含义却与网络掩码完全不同。

0：表示需匹配
1：表示无所谓

③特殊的wildcard
192.168.1.1 0.0.0.0 = 192.168.1.1 0 精确匹配192.168.1.1 的IP
0.0.0.0 255.255.255.255 = any 匹配所有IP

4、公网IP地址及私有IP地址
①公网地址：是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的唯一性，公网地址由ANA这个国际组织负责分配。一台网络设备如果需要使用公网地址，就必须向ISP或注册中心申请。
②私有地址：为了满足一些实验室、公司或其他组织的独立于Internet之外的私有网络的需求，RFCA1918为私有使用留出三个IP地址段。私有地址不能在Internet上被分配，因而可以不必申请就可以自由使用。
③私有IPv4地址空间
A类：10.0.0.0 ~ 10.255.255.255 （10.0.0.0/8）
B类：172.16.0.0 ~ 192.31.255.255 （172.16.0.0/12）
C类：192.168.0.0 ~ 192.168.255.255

四、什么是NAT
NAT的主要原理是通过解析IP报文头部，自动替换报文头部的源地址或目的地址，实现私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。

1、NAT的优点和缺点
1）优点：①缓解公网地址紧缺问题。
②解决IP地址空间冲突或重叠的问题。
③网络扩展性更高，本地控制也更容易。
④内网结构及相关操作对外变得不可见。
⑤增加了安全性。

2）缺点：①存在转发延迟。
②端到端寻址变得困难。
③某些应用不支持NAT。
④NAT产生的表项需占用设备的内存空间。
⑤设备性能问题。

2、NAT类型
1）源IP地址转换（Source IP address-based NAT):
①No-Port地址转换（No-PAT)
②网络地址及端口转换（NAPT）
2）目的IP地址转换(Destination IP address-based NAT):
①NAT Server
②目的NAT

3、静态NAT

①静态NAT实现了私有地址和共有地址的一对一映射
②一个公网IP只会分配给唯一且固定的内网主机
案例：
进接口：int g0/0/0
ip address 192.168.1.254 24
int g0/0/1
ip address 192.168.2.254 24
int g0/0/2
ip address 10.0.0.254 24
nat static global 100.1.1.10 inside 192.168.1.1

4、动态NAT

①动态NAT基于地址池来实现私有地址和共有地址的转换
命令：nat address-group 1 100.1.1.15 100.1.1.20
a c l 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
nat outbound 2000 address-group 1 no-pot

5、NAPT

①网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
命令：nat address-group 1 100.1.1.15 100.1.1.20
a c l 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
nat outbound 2000 address-group 1

实验题
1、实验要求：client为公网上的一个用户，R4为内网出口路由器，内网PC可以访问web server,并且PC和Web server可以访问公网client,client可以访问内网Web server.

首先先设置 pc ，web server 和client







第二题
2、实验要求：全网互通
配置ACL使得vlan10和vlan20不通
配置ACL使R1不能访问web server






第二个问 要求配置ACL使得vlan10 和 vlan20 不通