一、ACL
1.1.什么是ACL
ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
1.2.ACL应用
1.匹配IP流量。
2.在Traffic-filter中被调用。
3.在NAT(Network Address Translation)中被调用。
4.在路由策略中被调用。
5.在防火墙的策略部署中被调用。
6.在QoS中被调用。
1.3.ACL 种类
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
1.4.配置中的方向
在接口下调用ACL分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
二、NAT
2.1.NAT原理和作用
原理:主要应用在企业出口路由器上,从内网出去时将源地址转换为企业公网ip,从公网中回来时将目的地址及公网地址转为对应的内网地址。
从私网到外网:将源私网地址改成源公网地址
从公网到私网:将目的公网地址改为私网地址
作用:通过对网络地址转换,实现内网地址和公网地址的互相访问。
2.2.NAT分类
1.静态NAT:私网地址和公网地址一对一映射,局限性是需要每一个私网ip对应一个公网ip,所以需要公网ip比较多。
2.动态NAT:将公网ip划出一个公网ip池,当内网地址访问外网时随机分配一个公网对应ip,访问完毕后回收公网ip。
2.3.NATPT
NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
2.4.实操
1.静态
给另一台主机配置一样的操作,注意公网地址不一样。
给运营商也配合IP地址和网关。
用PC3ping运营商
2.动态
现在无论PC3,PC4都能ping通200.0.0.2
3.NATPT
2.5.EASY-ip好处
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址
使用一个公网地址,可以让大部分人一起上网。
将IP地址和端口号一起转换
因为运营商收到的数据包是一个公网地址,但有两台设备,所以在企业出口的路由器里,会在IP地址后面跟上一个端口号一起转换(端口号只有一个 一共有0-65535),做区分。
用PC3,PC4ping一下