标签:流量 列表 协议类型 地址转换 outer mac odi 规则 映射
1. ACL访问控制列表(控制和匹配)能够通过匹配IP报文中的相关字段对感兴趣数据包进行抓取;抓取特定的路由。应用在报文过滤、路由策略、NAT、×××、QoS等。
? 标准:
? 只能匹配报头中的源IP地址
? 只能针对整个协议采取动作,无法针对特定的协议类型
? 扩展:
? 能匹配源目IP,以及四层端口号等信息
? 可以针对具体的协议类型进行匹配
? 隐藏规则:默认拒绝所有
? 匹配原则:从上到下匹配
? 命名原则:数字命名与字符串命名(反掩码)
time-range 名字;periodic weekdays 9:00 to 18:00
主流的分发为:基于编号的ACL和基于命名ACLVACL属于三种交换ACL(PACL,RACL,VACL)中的一种PACL (Port ACL)是应用在二层接口上的,并没有任何特别之处,将任何ACL应用到二层接口后,就称为Port ACL,但在二层接口只支持in方向,一个接口只能使用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用到EtherChannel.MAC是无法过滤IP流量的.RACL (Router ACL)和路由器接口上应用的ACL没有区别,将任何ACL应用到三层接口(SVI, routing-port,3层EtherChannel)后,就称为RouterACL,但只能是IP ACL,不能使MAC ACL ,Router ACL在in和out方向上都可以使用,每个接口每个方向只能使用一条ACL.VACL (VLAN ACL(VLAN map))是使用在VLAN与VLAN之间的ACL,每个VLAN只能使用一个,当需要控制IPv4流量时,VLAN ACL需要调用IP ACL,而其他流量则需要靠调用MAC ACL.①当应用VLAN ACL后,进入或离开VLAN的流量都会被检测,②无论是通过二层转发的还是三层转发的.③而且VLAN ACL是不能定义方向的,所以所有经过指定VLAN的流都会被过滤.当被调用的ACL匹配到流量后,默认动作是转发,而没有被匹配到的流量,默认也全部丢弃.
优点:节省IP地址空间;解决IP地址重叠问题;增加网络的连入Internet弹性;减少重编址的麻烦;对外隐藏内部地址,增加网络安全性。
缺点:增加转发延迟;丧失端到端的寻址能力;某些应用不支持NAT。? 服务场景:内网中存在需要对外网提供服务的服务器。
? 一对一映射
? 一个地址池对一内网IP(相当于一对一映射)
? 该方式的NAT不会对数据报头中的端口地址进行转换
? 多对一的映射(IP+端口)和四层协议端口号没关联。
? 多个内部本地地址共同享用一个公网地址
标签:流量 列表 协议类型 地址转换 outer mac odi 规则 映射
原文地址:http://blog.51cto.com/13973803/2280884
