目录

一丶ACL的作用

二丶ACL的种类

三丶ACL的应用原则

四丶NAT网络地址转换

一丶ACL的作用

用来对数据包做访问控制（丢弃或放行）

结合其他协议（标识端口），用来匹配范围

ACL工作原理：当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。

ACL读取第三层，第四层包头信息，根据预先定义好的规则对包进行过滤

IP报头：源地址，目的地址

TCP报头：源端口，目的端口

数据（上层数据）：利用四个元素定义规则：源地址，目的地址，源端口，目的端口

二丶ACL种类

基本acl（2000-2999）：只能匹配源IP地址

高级acl（3000-3999）：可以匹配源IP，目标IP，源端口，目标端口等三层和四层的字段和协议。

二层ACL（4000-4999）：根据数据包的源mac地址，目的mac地址，802.1q优先级，二层协议类型等二层信息制定规则

三丶ACL的应用原则

基本ACL：尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方（可以保护带宽和其他资源）

应用规则：

一个接口的同一个方向，只能调用一个ACL；

一个ACL里面可以有多个rule规则，按照规则id从小到大排序，从上到下依次执行

数据包一旦被某rule匹配，就不再继续向下匹配

用来做数据包访问控制时，默认隐含放过所有（华为模拟器）

配置：

acl 2000               创建acl  2000

rule 5 deny source 192.168.1.1 0 

拒绝源地址192.18.1.1的流量，0代表仅此一台（反掩码），5是这条规则的序号

int g0/0/0

ip add 192.168.2.254 24 

traffic-filter outbound acl 2000

接口出方向调用acl 2000，outbound代表出方向，inbound代表进入方向

acl 2001

rule permit source 192.168.1.0 0.0.0.255

permit代表允许，source代表来源，掩码部分为反掩码

rule deny source any

拒绝所有访问，any代表所有0.0.0.0 255.255.255.255

int g0/0/1 进入出口接口

ip add 192.168.2.254 24

traffic-filter outbound acl 2001

acl 3000            拒绝tcp为高级控制，所以3000起

rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 拒绝ping

rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80

四丶NAT网络地址转换

NAT数据包从内网到外网时，转换源IP地址，由私网地址转换成公网地址；

数据包从外网到内网时，转换目的IP地址，由公网地址转换成私网地址。

NAT功能：

优点：节省公有合法IP地址，处理地址重叠，增强灵活性，安全性

缺点：延迟增大，配置和维护的复杂性，不支持某些应用（VPN）

静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址，但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时，静态AY将报文的源Tp地址替换为对应的公网地址;外部网络向内郁网络发送响应报文时，静态将报文的目的地址替换为相应的私网地址。

有2种配置方法:
1.全局模式下设置静态NAT
nat static global 8.8.8.8 inside 192.168.10.10

int g0/0/1                    #外网口
nat static enable
在网口上启动nat static enable功能

2.直接在接口上声明nat static
int go/0/1                    #外网口
nat static global 8.8.8.8 inside 192.168.10.10

dis nat static
查看NAT静态配置信息