ACL与NAT

NAT技术需要依靠ACL所以在了解NAT之前我们需要简单了解ACL是什么

一、ACL

1.ACl的概念

ACL简单的说其实是一个实现流量过滤的工具，用于限制或允许特定用户、主机或网络对系统资源的访问

ACL代表访问控制列表（Access Control List），是网络和计算机系统中一种常用的安全机制。ACL用于
限制或允许特定用户、主机或网络对系统资源的访问。

ACL基本上是一系列规则或条目，用于控制数据包在网络中的流动。每个条目通常包含以下要素：

• 源地址：指定要进行访问控制的源设备或网络的地址。
• 目标地址：指定目标设备或网络的地址。
• 协议：指定要控制的协议类型，如TCP、UDP或ICMP等。
• 源端口：指定源设备或网络的端口号（适用于协议需要端口的情况）。
• 目标端口：指定目标设备或网络的端口号（适用于协议需要端口的情况）。
• 动作：指定针对匹配特定规则的数据包采取的操作，如允许、拒绝、丢弃、重定向等。

通过配置ACL规则，系统管理员可以根据需求对网络流量进行细粒度的限制和过滤。这些规则可以在路由器、交换机、防火墙等网络设备上应用，并允许或阻止特定流量的通过，从而维护网络的安全性和性能。

ACL广泛应用于网络安全和资源管理中，用于保护网络免受未经授权的访问、网络攻击和流量过载等威胁。它们也可以用于实现网络分段、流量路由和服务质量（QoS）等功能。

2.ACL 应用

ACL两种应用:

• 应用在接口的ACL-----过滤数据包（原ip地址和目的ip地址，原mac和目的mac，协议/ 端口 这也是数据包组成的五大元素）
• 应用在路由协议-------匹配相应的路由条目
• NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流

PS：总体来说就是设置规则，只有符合规则的才可以匹配

3.ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

4.ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源目IP地址匹配数据（数据时从 哪个IP地址 过来的）
• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

5.ACL的命令代码

基础ACL命令
acl 2000         #新建表格
rule permit deny（拒绝） source（源） 匹配的条件（ip地址） 通配符掩码(）
去路由器中调用
int  g0/0/1  #进入对应端口例如g0/0/1
traffic-filter outbound acl 2000  #调用ACL表，ACL 2000中的规则
高级ACL命令
更精细的控制匹配的条件
acl number 3000  
rule 5 deny tcp source 匹配的条件（ip地址）通配符掩码(用来控制匹配的范围）destination  匹配的条件（ip地址）通配符掩码(用来控制匹配的范围）destination-port  eq www（80）（目的地址的端口，这里那WWW做个例子）
 然后去路由器中调用
[R1]int g0/0/1   #进入对应端口例如g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000   #数据出去时调用ACL表，ACL 3000中的规则

6.ACL应用实验

实验结果要求：

客户机1（192.168.1.1）不能访问服务器1（192.168.2.1）

客户机2（192.168.2.1）全部可以访问

基础的ACL配置端口距离目标地址近

高级的ACL配置端口距离源地址近

6.1画出拓扑图，并根据图示配置好对应的ip地址

客户机1

客户机2

服务器1

服务器2

6.2配置路由器R1端口的IP地址和基础ACL来达成实验要求

6.3测试基础ACL是否配置成功且生效，达成实验要求

6.4清除基础ACL配置

6.5在路由器R1中的端口配置高级ACL达成实验要求

6.6测试高级ACL是否配置成功且生效，达成实验要求

客户机1（192.168.1.1）中

客户机2（192.168.2.1）中

ACL应用实验成功

7.ACL总结

1.应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

2.匹配规则

• 1、一个接口的同一个方向，只能调用一个acl
• 2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行
• 3、数据包一旦被某rule匹配，就不再继续向下匹配
• 4、用来做数据包访问控制时，(华为设备中)默认是放过所有数据包的

二、NAT

1.NAT的概念

简单说NAT（网络地址转换）就是一个让私网可以上公网的网络协议和技术

NAT（网络地址转换）是一种网络协议和技术，用于在互联网协议（IP）网络中转换和映射IP地址。NAT主要用于在私有网络（如家庭网络或企业内部网络）与公共网络（如互联网）之间共享有限的公共IP地址。

NAT的基本原理是将私有IP地址转换为公共IP地址，以便内部设备可以与互联网上的其他设备进行通信。它通过在网络边界上的转换设备（例如路由器）来实现地址转换

2.NAT工作机制

一个数据包从企业内网去往公网时，路由器将数据包当中的源ip（私有地址），转换成公网地址

3.NAT的种类

• 静态NAT
  • 将一个私有地址和一个公网地址进行关联，一 一对应，缺点和静态路由一样
• 动态NAT
  • 建立和维护一个地址表，该表存储了内部设备与相应的公共IP地址，允许内部网络中的多个设备共享一组公共IP地址
• NATPT（端口映射）
  • NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射，即内网服务器的相应端口映射成路由器公网ip地址的相应端口
  • 即让外网可以访问内网
• Easy-IP
  • 将私有网络中的IP地址和端口映射到公共网络中的公共IP地址和端口。通过这种方式，私有网络中的多个终端可以共享一个公共IP地址，从而实现了IP地址的节约和网络连接的共享
  • 1.出去的所有ip都是同一外网ip，但后面的端口号都不同（用于区分）
  • 1.使用列表匹配私网的ip地址
  • 2.将所有的私网地址映射成路由器当前接口的公网地址

4.NAT各种类实现命令拓扑实验

4.1.静态NAT

1.画出拓扑图并根据图示配置好PC机和端口的ip地址

2.AR1中配置静态ANT绑定

3.抓包检测和pc机器中检测是否生效

4.2.动态NAT

1.画出拓扑图并根据图示配置好PC机

2.配置端口的ip地址和动态NAT

3.测试动态NAT绑定

4.3.NATPT（端口映射）

1.画出拓扑图并根据图示配置好PC机，服务器和客户机的IP地址

2.开启服务器的http服务

3.配置路由器AR1，AR2

• AR1

• AR2

4.在服务器中测试NATPT配置是否生效

4.4.Esay-IP

1.画出拓扑图并根据图示配置好PC机，路由器端口，服务器和客户机的IP地址

2.配合AR1并查询配置

3.测试Esay-IP配置是否生效

5.总结

1.NAT的作用

网络地址转换（Network Address Translation，NAT）是一种在计算机网络中常用的技术，它在网络设备（如路由器和防火墙）之间转换IP地址，实现不同网络间的通信。NAT的主要作用如下：

• IP地址转换：NAT允许将内部网络（如家庭或企业局域网）使用的私有IP地址转换为公共IP地址，从而实现与公共互联网的连接。这样，一个公共IP地址就可以代表整个内部网络的所有设备。
• 地址隐藏和安全性：通过使用私有IP地址，NAT可以在内部网络和外部网络之间建立一道“屏障”，隐藏内部网络的真实IP地址，增加了网络的安全性，减少了受到网络攻击的风险。
• 节约公共IP地址：由于IPv4地址空间有限，NAT可以在一定程度上缓解公共IP地址的短缺问题。内部网络可以使用私有IP地址，只需要一个或几个公共IP地址来与外部网络通信。

2.数据包经过NAT设备从内网到外网和从外网到内网的转换过程

• 从内网到外网：
  • 数据包的源IP由私网IP转换成公网iP
• 从外网到内网
  • 数据包的目的IP由公网转换成私网IP

3.常用的两种NAT

• NATPT（端口映射）
  • NAT Server----内网服务器对外提供服务，针对目的ip和目的端口映射，即内网服务器的相应端口映射成路由器公网ip地址的相应端口
  • 即让外网可以访问内网
• Easy-IP
  • 将私有网络中的IP地址和端口映射到公共网络中的公共IP地址和端口。通过这种方式，私有网络中的多个终端可以共享一个公共IP地址，从而实现了IP地址的节约和网络连接的共享
  • 1.出去的所有ip都是同一外网ip，但后面的端口号都不同（用于区分）
  • 1.使用列表匹配私网的ip地址
  • 2.将所有的私网地址映射成路由器当前接口的公网地址