基于端口的ACL访问控制列表与NAT网络地址转换功能整合优化

一. ACL的作用

对分组的访问控制(丢弃或释放)和其他协议的组合，范围)1)用于匹配acl的操作原理

在包通过接口时，因为接口启用了acl，所以路由器检查消息并进行适当的处理。

(二) acl种类

基本ACL(2000-2999 ) :仅与源IP地址匹配。

高级ACL(3000-3999 ) :允许匹配源IP、目标IP、源端口和目标端口三层和四层字段。

第2层2ACL(4000-4999 ) :根据数据包源MAC地址、目标MAC地址、802.1q优先级、第2层协议类型等第2层信息创建规则。

(三) ACL的应用原则

基本ACL用于尽可能接近目标点的高级ACL，尽可能接近源(可以保护带宽和其他资源)四) ACL应用规则

在一个接口的相同方向上，只能调用一个acl的一个acl中可以有多个rule规则，当根据规则ID 从小到大排序，从上往下一次执行匹配包所在的rule时，进行分组访问控制

(五) ACL命令二. NAT网络地址转换

(一)北约机制

NAT用于将内部网的地址和端口号转换为合法的公共地址和端口号，以及与公共主机通信的NAT外部主机与位于NAT内部的主机建立不能主动通信的会话。 NAT内部主机要通信，必须主动与公用网络IP进行通信，路由器建立映射关系实现数据传输。 (2) NAT功能

NAT不仅可以解决IP地址不足的问题，还可以有效避免网络外部入侵，隐藏和保护网络内部的计算机。

宽带共享：这是NAT主机的最大功能。 安全性—如果NAT中的pc连接到互联网，则客户端pc具有一定的安全性，因为他显示的IP是NAT主机的公共网络IP，并且在外部进行端口扫描时源pc具有一定的安全性好处：

节约公共IP地址、处理地址重复、提高灵活性、安全nat

缺点：

不支持某些APP应用程序，如延迟增加、配置和维护复杂性以及VPN

(四)静态NAT

静态nat是指将内部网络的专用IP地址转换为公共IP地址。 IP地址对是一对一不变的，一个专用IP地址只转换为一个公共IP地址。 静态转换允许从外部网络访问内部网络中的特定设备(例如服务器)1.全局模式

intg0/0/1natstaticenable http://www.Sina.com /

intg0/0/1显示natstaticglobal8.8.8.8inside 192.168.10.10 disnatstatic # #静态配置(5)动态NAT

动态nat是指，将内部网络的私有IP地址变换为公用IP地址时，IP地址是不确定的、随机的，被允许接入互联网的所有私有IP地址变换为指定的任意合法IP地址也就是说，只要指定可以转换的内部地址和使用哪个合法地址作为外部地址，就可以动态转换。 动态转换可以使用多个有效的外部地址集。 如果ISP提供的合法IP地址稍少于网络中的计算机数量。 可以采用动态变换的方式。2.接口模式

NAT地址组1212.0.0.100212.0.0.0.200 a cl2000 rulepermitsource 192.168.20.0.0.0.0.255 rulepermitsource

端口复用(Port address Translation，PAT )是指变更发送分组的发送源端口来进行端口变换，即端口地址变换(PAT，Port address Translation ) .端口复用内部网络中的所有主机都可以共享一个合法的外部IP地址来访问互联网，从而最大限度地节约IP地址资源。 它还可以隐藏网络中的所有主机，有效避免来自互联网的攻击。 因此，目前网络中使用最多的是端口复用方式。命令配置

动态PAT，包括NAPT和Easy IP；

2 .包括静态PAT、NAT Srever

PTA的类型

设置外部和内部网端口的IP地址以定义合法的IP地址池[ R1 ] NAT地址组1200.1.1.10200.1.1.103 .定义访问控制列表

[ R1 ] a cl2000 [ R1-ACL-adv-2000 ] rulepermitsource 192.168.30.0.0.0.255 .在外部网端口上设置IP地址转换

[ R1-ACL-basic-2000 ] intg0/0/1[ R1 -千兆以太网0/0/1 ] NAT outbound 2000地址组13http://www.Sina.ccom

设置外联网和内联网门户的IP地址，合法IP地址被发送到的小白菜访问控制列表[ R1 ] ACL 3000 [ R1-ACL-adv-2000 ] rulepermitipsource 110

[ R1 ] intg0/0/1[ R1千兆以太网0/0/1 ] NAT outbound 3000 NAT server :

将端口映射、专用网络地址端口映射到公共网络地址，以便外联网用户可以访问内部网服务

在连接到公共网络的接口上，成对地映射并绑定专用网络服务器地址和公共网络地址的“R1”(intg0/0/1(R1 -千兆以太网) natserverprotocoltcpglobal8.8.8.8www inside 192.168.10.100www是连接到公共网络的接口，提供专用网络服务器地址和额外的