ACL 和 NAT

一、ACL

 1.1.什么是ACL

ACL（访问控制列表）：用于过滤流量。例如：在同一个vlan 中要允许PC1可以访问服务器A，但是PC2不能访问服务器A，这种情况就需要使用ACL。原理是在数据包经过路由器时，由于路由器开启了ACL所以会对报文进行检查做出相应的处理。

1.2.ACL应用

1.匹配IP流量。

2.在Traffic-filter中被调用。

3.在NAT（Network Address Translation）中被调用。

4.在路由策略中被调用。

5.在防火墙的策略部署中被调用。

6.在QoS中被调用。

1.3.ACL 种类

编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）

编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

1.4.配置中的方向

在接口下调用ACL分为两个方向

inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL

二、NAT

2.1.NAT原理和作用

原理：主要应用在企业出口路由器上，从内网出去时将源地址转换为企业公网ip，从公网中回来时将目的地址及公网地址转为对应的内网地址。

从私网到外网：将源私网地址改成源公网地址

从公网到私网：将目的公网地址改为私网地址

作用：通过对网络地址转换，实现内网地址和公网地址的互相访问。

2.2.NAT分类

1.静态NAT：私网地址和公网地址一对一映射，局限性是需要每一个私网ip对应一个公网ip，所以需要公网ip比较多。

2.动态NAT：将公网ip划出一个公网ip池，当内网地址访问外网时随机分配一个公网对应ip，访问完毕后回收公网ip。

2.3.NATPT

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

2.4.实操

1.静态

给另一台主机配置一样的操作，注意公网地址不一样。 

给运营商也配合IP地址和网关。

用PC3ping运营商

2.动态

现在无论PC3,PC4都能ping通200.0.0.2

 

3.NATPT

2.5.EASY-ip好处

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

使用一个公网地址，可以让大部分人一起上网。

将IP地址和端口号一起转换

因为运营商收到的数据包是一个公网地址，但有两台设备，所以在企业出口的路由器里，会在IP地址后面跟上一个端口号一起转换（端口号只有一个 一共有0-65535），做区分。

用PC3,PC4ping一下