二十一、网络层安全ACL（Access Control List）

1.IP访问控制列表的作用

i.流量控制

ii.过滤数据包

2.类别

i.标准访问控制列表；基于源IP地址过滤数据

ii.扩展访问控制列表；基于源IP地址、目标IP地址、协议（TCP/UDP/ICMP等）、目标端口来过滤数据

3.常用命令

i.查看访问控制列表；Router#show access-lists

ii.建立标准访问控制列表；Router(config)#access-list 10 deny 192.168.2.2 0.0.0.0

iii.建立扩展访问控制列表；Router(config)#access-list 110 permit tcp 192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80

iv.将访问控制列表应用到端口；Router(config-if)#ip access-group 10 out

v.将访问控制列表应用到VTY端口；Router(config-line)#access-class 10 in

4.注意点

i.默认标准ACL编号为1-99，扩展编号为100-199

ii.ACL使用反子网掩码

iii.先建立访问控制列表，进入端口配置后，再应用到端口出或入

iv.访问控制列表的顺序按照输入先后排列

v.访问控制列表的匹配按照先后顺序，匹配一条后不再向下检验

vi.默认为禁止所有

vii.无法删除单独的访问控制列表条目，只能删除整个列表（PT中可进入列表配置单独删除一行，但不能调整顺序，不知真机可否）。

1.进入列表配置模式；Router(config)#ip access-list standard 10

2.删除某条目；Router(config-std-nacl)#no permit any

二十二、NAT（Network Address Translation，网络地址转换）

1.静态地址转换

i.地址转换命令；Router(config)# ip nat inside source static 10.1.1.1 172.16.12.10

ii.设定内部端口；Router (config-if)#ip nat inside

iii.设定外部端口；Router (config-if)#ip nat outside

2.动态地址转换

i.配置外部地址池；Router(config)#ip nat pool chris 172.16.12.100 172.16.12.150 netmask 255.255.255.0

ii.配置ACL（需要转换的内部地址范围）；Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

iii.地址转换命令；Router(config)#ip nat inside source list 1 pool chris

iv.设定内部端口；Router (config-if)#ip nat inside

v.设定外部端口；Router (config-if)#ip nat outside

3.端口地址转换

i.配置外部地址池；Router(config)#ip nat pool chris 172.16.12.10 172.16.12.10 netmask 255.255.255.0

ii.配置ACL（需要转换的内部地址范围）；Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

iii.地址转换命令；Router(config)#ip nat inside source list 1 pool chris overload

iv.设定内部端口；Router (config-if)#ip nat inside

v.设定外部端口；Router (config-if)#ip nat outside

4.端口映射

i.

5.常用命令

i.查看地址转换表；Router(config)#show ip nat translations

ii.清除地址转换表；Router(config)#clear ip nat translations *

iii.调试NAT；Router(config)#debug ip nat

6.注意点

i.端口地址转换与动态地址转换配置基本相同，主要区别在于配置时是否加上“overload”

ii.静态地址转换无需配置内部地址范围及外部地址池

iii.动态地址转换当内部地址少于外部地址时，可能需要手动清除地址转换表才能正常访问