一、什么是ACL

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

二、ACL规则定义方式的划分

三、ACL典型应用场景

某企业为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。实现方式：

在Interface 1的入方向上部署ACL，禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL，总裁办公室访问财务服务器的报文默认允许通过。

保护企业内网环境安全，防止Internet病毒入侵。实现方式： 在Interface 3的入方向上部署ACL，将病毒经常使用的端口予以封堵。

四、ACL实验

步骤：

配置地址

int g0/0/0 ip address 192.168.1.254 255.255.255.0

int g0/0/1 ip address 192.168.2.254 255.255.255.0

int g0/0/2 ip address 192.168.3.254 255.255.255.0

建立acl 2调用acl

acl 2000###建立cal2000

rule 5 deny source 192.168.1.1 0####默认编号5 拒绝 来自192.168.1.1 的流量

int g0/0/1###进入g0/0/1端口

traffic-filter outbound acl 2000####接口下调用acl2000

在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL

outbound方向-------当设备从特定接口向外发送数 据时执行ACL

没有被acl匹配数据默认采用permit动作

基本acl需要调用在离目的设备最近的接口上

四、什么是NAT

NAT是一种地址转换技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术，由于实现简单，得到了广泛应用。 静态nat（几乎不用） 工程手动将一个私有地址和一个公网地址进行关联，一一对应 NATPT（端口映射） NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射 内网服务器的相应端口映射成路由器公网ip地址的相应端口

五、NAT实验

步骤

配置好地址

在企业出口路由器上的 g0/0/1 口配置

int g0/0/1

ip address 200.1.1.1 255.255.255.0

nat static enable

nat static global 200.1.1.100 inside 192.168.1.1