ACL

ACL简介

ACL：访问控制列表，是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

ACL的应用

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）
2. 应用在路由协议-------匹配相应的路由条目
3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

ACL的工作原理

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）
• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

匹配规则

1. 一个接口的同一个方向，只能调用一个acl
2. 一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行
3. 数据包一旦被某rule匹配，就不再继续向下匹配
4. 用来做数据包访问控制时，默认隐含放过所有(华为设备)

ACL访问控制列表类型

1.标准访问控制列表

• 只能基于源地址进行过滤
• 标准访问控制列表号是2000-2999
• 调用原则：靠近目标

2.扩展访问控制列表

• 可以根据源、目IP，TCP/UDP协议，源、目端口号进行过滤
• 相比较标准访问控制列表，流量控制的更精准
• 调用原则：靠近源

NAT

NAT简介

NAT：网络地址翻译，一个数据包目的ip或者源ip为私网地址， 运营商的设备无法转发数据。

NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），翻译成公网地址。

静态NAT

工程手动将一个私有地址和一个公网地址进行关联，一 一对应，缺点和静态路由一样

动态NAT

一个私网地址随机对应地址池中的公网地址(用完就没)

NATPT（端口映射）

NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射

内网服务器的相应端口映射成路由器公网ip地址的相应端口

Easy-IP

1. 使用列表匹配私网的ip地址

2. 将所有的私网地址映射成路由器当前接口的公网地址