ACL---访问控制列表，是一种策略控制工具

功能：1.定义感兴趣流量（数据层面 ）       2.定义感兴趣路由（控制层面）   

 

ACL 条目表项组成：

编号规则：步数或者跳数默认值为5，可以调整。

 

动作：执行动作分为permit允许，deny拒绝。

匹配项：通过通配符进行控制

 

特性：

1.自上而下匹配，已经匹配，立即执行，满足金字塔型结构

2.ACL列表被接口调用，分为import和export，import先匹配ACL再查看路由，export 先执行路由在匹配ACL。

3.ACL条目，思科中末尾隐含拒绝所有，华为末尾不关注

 

ACL分类： 分为基本ACL和高级ACL

基本ACL：在匹配过程中仅仅关注源IP地址

高级ACL：在匹配过程中关注源IP、目标IP地址、协议

标记方式：编号方式和命名方式

编号方式:基本ACL2000-2999  高级ACL3000-3999

 

ACL 部署

基本ACL ：

接口调用：

测试：

高级ACL：

接口调用：与基本ACL一致

测试...

 

 

NAT：网络地址转换

随着Internet的发展和网络应用的增多，有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题，NAT（Network Address Translation，网络地址转换）技术应需而生。

 

公有地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址。

私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。

A、B、C类地址中各预留了一些地址专门作为私有IP地址：

A类：10.0.0.0 ~ 10.255.255.255

B类：172.16.0.0 ~ 172.31.255.255

C类：192.168.0.0 ~ 192.168.255.255

 

功能：    1.将大量的私有地址转换为公有地址（节约IP地址）

              2.将一个IP地址转换为另一个IP地址（公有的）（增加内部网络设备 的安全性）

缺陷： 1.极其消耗网络设备资源  2.破坏了数据的端到端传输（导致有些安 全技术无法有效实施）

 

NAT 原理：

 

NAT部署：

1.静态NAT （一对一转换）

方法一：接口下直接启用NAT映射

测试：已经完成NAT，抓宝分析

 

方法二：全局定义静态NAT映射关系，接口启用静态NAT功能

全局定义NAT转换过程

接口启用静态NAT功能

查看：

2.动态NAT : 多对多的地址转换

静态NAT存在两个问题：1.静态NAT地址一对一转换并未节约IP地址（增加IP控制）2.某些私有IP地址并不一定是一直使用（未充分使用公有IP地址空间）

动态NAT 部署：

定义私有IP地址范围：

定义公有地址池范围：

接口配置动态NAT映射关系：

注意：参数no-pad ，默认是pad，使用端口映射，no-pat---非端口地址转换

测试：

 

3.NAPT：网络地址端口转换，在动态NAT的基础上，使用了pat（端口地址转换）的转换，可以使用大量私有IP地址映射少量公有IP地址，可以有效的提高公有地址利用率。

部署：与动态NAT一致，不选择no-pat参数。

测试：抓包分析

 

4.easy IP，与NAPT一致，区别点在于将公有地址定义为连接公网出接口IP地址。

 

部署：

定义私有IP地址范围：

接口启用：

 

5.NAT server：指定公有IP地址（端口）向私有IP地址（端口）的一对一映射关系

 

部署:

测试：