ACL

Posted 2021-01-08

1. ACL访问控制列表

1.1 作用：

（控制和匹配）能够通过匹配IP报文中的相关字段对感兴趣数据包进行抓取；抓取特定的路由。应用在报文过滤、路由策略、NAT、×××、QoS等。

1.2 ACL类型

? 标准：
? 只能匹配报头中的源IP地址
? 只能针对整个协议采取动作，无法针对特定的协议类型
? 扩展：
? 能匹配源目IP，以及四层端口号等信息
? 可以针对具体的协议类型进行匹配
? 隐藏规则：默认拒绝所有
? 匹配原则：从上到下匹配
? 命名原则：数字命名与字符串命名（反掩码）

1.3 时间ACL（指定的时间内应用相应的ACL）

time-range 名字；periodic weekdays 9:00 to 18:00

1.4 自反ACL：内部允许访问外部，外部不允许访问内部。https://blog.csdn.net/u013047651/article/details/23019243（类似与防火墙）

1.5 ACL的分法:

主流的分发为:基于编号的ACL和基于命名ACLVACL属于三种交换ACL(PACL，RACL，VACL)中的一种PACL (Port ACL)是应用在二层接口上的,并没有任何特别之处,将任何ACL应用到二层接口后,就称为Port ACL,但在二层接口只支持in方向,一个接口只能使用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用到EtherChannel.MAC是无法过滤IP流量的.RACL (Router ACL)和路由器接口上应用的ACL没有区别,将任何ACL应用到三层接口(SVI, routing-port,3层EtherChannel)后,就称为RouterACL,但只能是IP ACL,不能使MAC ACL ,Router ACL在in和out方向上都可以使用,每个接口每个方向只能使用一条ACL.VACL (VLAN ACL(VLAN map))是使用在VLAN与VLAN之间的ACL,每个VLAN只能使用一个,当需要控制IPv4流量时,VLAN ACL需要调用IP ACL,而其他流量则需要靠调用MAC ACL.①当应用VLAN ACL后,进入或离开VLAN的流量都会被检测,②无论是通过二层转发的还是三层转发的.③而且VLAN ACL是不能定义方向的,所以所有经过指定VLAN的流都会被过滤.当被调用的ACL匹配到流量后,默认动作是转发,而没有被匹配到的流量,默认也全部丢弃.

2. NAT网络地址转换

1.1 私网IP地址不能在公网上使用。

1.2 优缺点：

优点：节省IP地址空间；解决IP地址重叠问题；增加网络的连入Internet弹性；减少重编址的麻烦；对外隐藏内部地址，增加网络安全性。
缺点：增加转发延迟；丧失端到端的寻址能力；某些应用不支持NAT。

1.3 静态NAT（内外网可以互相ping通）

? 服务场景：内网中存在需要对外网提供服务的服务器。
? 一对一映射

1.4 动态NAT（内网ping通外网，外网ping不通内网）

? 一个地址池对一内网IP（相当于一对一映射）
? 该方式的NAT不会对数据报头中的端口地址进行转换

1.5 PAT端口转换

? 多对一的映射（IP+端口）和四层协议端口号没关联。
? 多个内部本地地址共同享用一个公网地址