网络基础——ACL和NAT介绍_nat acl

一、ACL介绍

ACL（访问控制列表）：用于过滤流量。

1、ACL的作用及匹配机制

作用：
①用来对数据包做访问控制（丢弃或者放行）
②结合其他协议，用来匹配范围

匹配机制：一个ACL可配置多条规则，匹配时是从上往下一次匹配，匹配到即停止，华为设备默认放通所有

2、ACL的工作原理

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。

3、ACL的种类

基本acl（2000-2999）：只能匹配源ip地址。
高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL（4000-4999）：根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。

4、ACL的操作命令

acl number 2000 	                      ##创建acl 2000
rule 5 deny source 192.168.1.1 0	      ##拒绝源地址为192.168.1.1的流量，0代表仅此一台，5是这条规则的序号
traffic-filter outbound acl 2000 	      ##接口出方向调用acl 2000，outbound代表出方向，inbound代表进入方向
rule permit source 192.168.1.0 0.0.0.255  ##permit代表允许，source代表来源，掩码部分为反掩码    
rule deny source any                      ##拒绝所有访问，any代表所有
1
2
3
4
5

二、ACL实战配置

1、实验目的

同一个局域网中，要求仅允许PC1能访问server

2、实验拓扑图

3、实验步骤

第一步，将PC1、PC2、Server1的IP地址以及掩码网关配置完毕。

第二步：配置路由器接口地址并检测PC1、PC2是否都可以访问server1

<Huawei>sys                                                     ##进入系统视图
[Huawei]undo info-center enable                                 ##关闭系统视图提示
[Huawei]sys AR1                                                 ##修改路由器名称
[AR1]int g0/0/0                                                 ##进入g0/0/0接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24           ##设置g0/0/0接口IP地址
[AR1-GigabitEthernet0/0/0]int g0/0/1                            ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24           ##设置g0/0/1接口IP地址
[AR1-GigabitEthernet0/0/1]q                                     ##退回上一层
1
2
3
4
5
6
7
8

第三步：在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器。

[AR1]acl 2000                                                    ##创建基础级ACL 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.2 0             ##添加规则，拒绝源ip为192.168.1.2
[AR1-acl-basic-2000]int g0/0/1                                   ##进入g0/0/1接口
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000       ##接口出方向调用acl 2000规则
[AR1-GigabitEthernet0/0/1]un sh                                  ##开启端口
[AR1-GigabitEthernet0/0/1]q                                      ##退回上一层

1
2
3
4
5
6
7

第四步：配置完毕检测访问结果，如下图可以看出配置完ACL后PC1依然可以访问server1，PC2不能访问server1至此实验完毕。

三、NAT介绍

NAT（Network Address Translation）又称为网络地址转换，用于实现私有网络和公有网络之间的互访

1、NAT的作用

通过对网络地址转换，实现内网地址和公网地址的互相访问

2、NAT的工作原理

• 内网向外网发送报文时，NAT将报文的源IP地址由私网地外转换为对应的公网场址，外网向内网发送响应报文时，NAT将报文的目的地址转换为相应的私网地址
  

3、NAT的种类

• 静态NAT：私网IP和公网IP是一对一的关系，并且需要一对一绑定

• 动态NAT：私网IP和公网IP是一对一的关系，需要定义公网IP地址池，私网转换时会轮询地址池里的每个IP地址

4、NAT的优缺点

• 优点
  节省合法的公有ip地址，地址重叠时，提供解决办法，增强灵活性和安全性。

• 缺点
  延迟增大、配置和维护的复杂性、不支持某些应用（比如VPN）。

5、NAT的配置命令

• 静态NAT

第一种：
全局模式下设置静态NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10                      ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
[R1]int g0/0/1			                                                ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static enable 		                        ##在网口上启动nat static enable 功能
---------------------------------------------------------------------------------------
第二种：直接在接口上声明nat static
[R1]int g0/0/1			                                                 ##进入g0/0/1接口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10  ##将静态 nat公网地址8.8.8.8对应私网192.168.10.10
1
2
3
4
5
6
7
8
9

• 动态NAT

[R1]nat address-group 1 200.1.1.10 200.1.1.15                        ##建立动态nat地址池
[R1]acl number 2000                                                  ##创建acl  2000
[R1]rule 5 permit source 192.168.1.0 0.0.0.255                       ####添加规则允许源地址为192.168.1.0的用户通过
[R1]int g0/0/1                                                       ##进入g0/0/1端口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat    ##将规则添加在出口
1
2
3
4
5