一.ACL

1.ACL 工作原理

-当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

2.ACL 应用

• 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）
• 应用在路由协议-------匹配相应的路由条目

3.ACL 种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）
• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

4.ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

5.acl实验，基本ACL与高级ACL。

基本ACL实验，如图所示。

实验步骤如下：

先配ip地址，然后限制192.168.1.1 ip。

如图所示，访问失败，实验成功。

高级ACL实验：

限制192.168.1.1访问192.168.2.1网页

访问失败，实验成功。

二.NAT

1.NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址

2.NAT分为哪几种？

NAT分四种类型，分别是静态NAT，动态NAT，以及NATPT（端口映射）和Easy-IP四种类型。

3.实验：静态+动态nat实验。

如图所示，

步骤1：配置 ip地址。

如图

步骤2：

静态nat配置

在企业出口路由器上的 g0/0/1 口配置 int g0/0/1 ip address 200.1.1.1 255.255.255.0

nat static enable nat static global 200.1.1.100 inside 192.168.1.1

步骤3：完成上述步骤后，打开pc1计算机ping200.1.1.2，发现可以ping通，而pc2不可以。实验成功

动态nat配置

步骤1：nat address-group 1 200.1.1.10 200.1.1.15 #建立地址池 acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255

步骤2：int g0/0/1 nat outbound 2000 address-group 1 no-pat #添加规则

步骤3：打开pc2 计算机ping200.1.1.2，发现可以ping通，实验成功

NATPT（端口映射）

什么natpt？

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

步骤1：配置好ip地址

企业出口路由器需要配置默认路由

步骤2:在企业出口路由器上 的g0/0/1 口配置

int g0/0/1

ip address 200.1.1.1 24

nat server protocol tcp global current-interface www inside 192.168.1.100 www

Easy-IP

1.使用列表匹配私网的ip地址

2.将所有的私网地址映射成路由器当前接口的公网地址

步骤1：acl 2000

rule permit source 192.168.1.0 0.0.0.255

步骤2：int g0/0/1

undo nat static global 200.1.1.100 inside 192.168.1.1 netmask 255.255.255.255

nat outbound  2000