ACL/NAT/PPP

ACL

access-list：关心源目的ip地址，不关心源码

例：目标IP地址：192.168.1.1/24

       路        由A：192.168.1.0/30 170.1.12.2（优先）

       路        由B：192.168.1.0/24 180.1.12.2

prefix-list：前缀列表用于对路由的匹配和过滤，既能限制前缀的范围，又能限制掩码的范围。

先匹配掩码，再看IP地址；只将BGP的默认路由重新分发进EIGRP:

要创建前缀列表，可使用全局配置命令：

ip prefix-list {list-name I list-number} [seq seq-value] {deny I permit} network/length [ge ge-νalue] [le le-value]

参数	描述
list-name	创建的前缀列表名称（区分大小写）
list-number	创建的前缀列表编号
seq seq-value	prefix-list 语句的32 位序列号，用于确定过滤时语句的处理顺序。默认序列号易5的递增（5、10、15 等）
deny I permit	匹配时采取的措施
network/length	要匹配前缀的长度
ge ge-νalue	要匹配前缀的长度范围
le le-value	要匹配前缀的长度范围

---

 访问控制列表种类：

1、标准访问控制列表：(1-99  1399-2000)

access-list     [1-99]     [permit/deny]      [源ip地址网段]     [通配符]

*通配符:和反掩码相同

正掩码:255.255.255.0                           掩码为1的部分对应IP地址不变、掩码为0的部分对应IP地址可变

反掩码、通配符:0.0.0.255                    掩码为0的部分对应的IP地址不变、掩码为1的部分对应IP地址可变

标准访问控制列表的特征：

1. 标准访问控制列表号：1-99  1300-1999
2. 只关心数据包的源IP地址（数据包的来源）
3. 如果是permit,则允许从这个源IP过来的所有协议，deny为拒绝
4. 标准不写通配符，则默认通配符0.0.0.0

2、扩展访问控制列表

access-list  [100-199]    [permit/deny]   [协议]   [源ip地址网段]  [通配符]   [目的IP地址网段]   [通配符]   [匹配协议端口或其他参数]

例如禁止ping:

access-list 100 deny icmp 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo 

1. 列表号 100-199 2000-2699
2. 关心源目IP地址，并且关心源目之间使用的协议
3. 可以针对特定的协议进行操作
4. 必须写通配符

• 正掩码：0.0.0.0 0.0.0.0                              代表所有IP地址
• 通配符：0.0.0.0 255.255.255.255              常规写法“any”

• 正掩码：192.168.1.1   255.255.255.255   单独地址
• 通配符：192.168.1.1   0.0.0.0                   常规写法 ‘host 192.168.1.1’     

路由器或三层交换机或多层交换机上配置ACL，一般有两个步骤:

1. 配置ACL
2. 将ACL调用在接口上

*访问控制列表只配置不调用，是没有任何作用的(防火墙除外) 

接口:in/out

ACL调用在接口in上：[先匹配ACL，再匹配路由表]

1. 触发访问控制列表，若匹配拒绝则丢弃，若触发允许，则发送
2. 匹配路由表

ACL调用在接口out上：[先匹配，再匹配=ACL]

1. 数据包进入设备，查询路由表的出口接口，若查询不匹配路由，则路由器丢弃数据包，若查询匹配则发送
2. 若查询到路由，出口接口配置了ACL,则触发这个ACL，如果拒绝则丢弃，如果允许则发送

3、规则

1. 一个接口的一个方向（只能调用一个ACL号）
2. 一个ACL号中可以配置多条访问控制列表
3. ACL的匹配原则：逐条匹配，[数据包触发ACL后，从第一条开始匹配]，如果第一条匹配不到，则依次匹配；一旦匹配到一条则不会继续向下匹配
4. 如果一条都不匹配，CISCO规则:匹配最后的隐藏匹配语句：deny any
5. 因为CISCO中有最后的隐藏匹配语句deny any，所以在ACL中至少配置一条permit语句
6. 路由器无法过滤自己产生的数据包
7. 删除一条ACL语句，删除一条，就会删除所有相同访问控制列表号的条目（先将配置保存在TXT文本中做好备份，再进行删除

================================================================================================

ACL+RIP+TELNET实验

---

NAT：网络地址翻译

   *家用路由的WAN口就具备NAT特性

将数据包的源IP地址（私网地址）转换成互联网（ISP）可以识别到的公网地址

大原则：互联网是不允许私网地址进入互联网的，私网中手动配置的公网地址也无法进入互联网

*私网地址：

• A类：10.0.0.0-10.255.255.255
• B类：172.16.0.0-172.31.255.255
• C类：192.168.0.0-192.168.255.255

四个地址：

1. 内部本地地址（ Inside     Local   Address）：私网地址
2. 内部全局地址（ Inside    Global  Address）：公网地址
3. 外部本地地址（Outside   Local   Address）：
4. 外部全局地址（Outside  Global  Address）：

 四个功能：

1. 内部网络地址转换（私网地址转换成公网地址）
2. 复用内部的全局地址（多个私网地址转换成一个公网地址）
3. TCP负载均衡（工作站，不常用）
4. 解决网络地址重叠

三个技术:

1、静态映射(Statci)：也称静态NAT

  内网有服务器需要被互联网上的设备访问，那么就要通过静态映射服务器的私网地址和公网地址之间得映射关系，互联网上的设备通过访问这个公网地址，就能访问到服务器本身。

2、动态NAT

    一个或者多个固定的公网地址和私网地址之间的映射关系，一般使用于工作站

3、PAT：也称端口NAT

   公网地址是通过PPPOE动态活动的，每次都不固定，但是端口固定，所以将私网地址和这个连接公网的端口形成映射关系来解决内部上网的问题。这种方式小型企业和家庭使用较多

---

PPP