ACL与NAT
ACL
acl是由一系列permit或deny语句组成的,有序规律的列表
acl是一个匹配工具,能够对报文进行匹配和区分
ACL应用
应用在接口的ACL—–过滤数据包(原目ip地址,原目 mac, 端口 五元组)
应用在路由协议——-匹配相应的路由条目
NAT、IPSEC VPN、QOS—–匹配感兴趣的数据流(匹配上我设置的 数据流的)
ACL 工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类
编号2000-2999—基本ACL—-依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
编号3000-3999—高级ACL—-依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
ACL(访问控制列表)的应用原则
基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
一个接口的同一个方向,只能调用一个acl
一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
数据包一旦被某rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)
NAT
网络地址翻译(natwork address translation)——让内网可以访问外网
一个数据包目的ip或者源ip为私网地址, 运营商的设备无法转发数据。
实际场景问题如下图:
NAT工作机制
一个数据包从企业内网去往公网时,路由器将数据包当中的源ip(私有地址),翻译成公网地址
当内网的数据包经过路由器,nat会将源地址转换成公网地址
当公网的数据包经过路由器,nat会将目的地址转换成内网地址
静态nat:公网地址和私网地址一一对应
动态nat:地址池
natpt:需要有一个固定的公网地址
2. NATPT(端口映射)
NAT Server—-内网服务器对外提供服务,针对目的ip和目的端口映射
内网服务器的相应端口映射成路由器公网ip地址的相应端口
3.Easy-IP
1.使用列表匹配私网的ip地址
2.将所有的私网地址映射成路由器当前接口的公网地址