ACL应用

vlan隔开网络风暴

三层交换 是 不同vlan通讯

白名单：默认拒绝所有，放一个可以通信一个（自己内部的业务）

黑名单：默认开放全部，加入一个，不能通信一个（京东，淘宝）

ACL两种应用：

应用在接口的ACL-----过滤数据包（源目ip地址，源目mac，端口，五元组）

应用在路由协议------匹配相应的路由条目

NAT,IPSEC VPN ，QOS-----匹配感兴趣的数据流

ACL种类

• 编号2000-2999....基本ACL....依照依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）

• 编号3000-3999....高级ACL....依照数据包当中源，目的IP，源，目的端口，协议号匹配数据（五元组）

• 编号4000-4999....二层ACL，MAC，VLAN-id，802.1P

ACL的分类与标识

ACL小实验

acl 2000 #新建表格， 将你设置的 过滤条件放入 这个表格

rule permit | deny source 匹配的条件 通配符掩码 在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL

outbound方向-------当设备从特定接口向外发送数据时执行ACL

###静态nat小实验

192.168.1.1 公司的内网地址 去访问外网服务器  200.0.0.1 

源地址 192.168.1.1  目的地址200.0.0.1  

经过  路由器NAT技术处理    静态模式

回包的时候

源地址 200.0.0.1     目的地址：201.0.0.1

经过   路由器NAT技术处理

源地址  200.0.0.1  目的地址192.168.1.1`

手动将一个私有地址和一个公网地址进行关联，一一对应，缺点和静态路由一样

###NATPT（端口映射）

内网服务器的相应端口映射成路由器公网ip地址的相应端口