内容回顾：

网络
IP
规模越来越大
浪费越来越严重
IP地址空间有限
-公有地址|私有地址 （NAT）
-子网划分
-IPv6

内网：私有地址
-通信
     私有地址没有资格在 Internet 流通；

     出去，但是回不来

     让企业的数据包在出去的时候，
     携带的并不是内部的私有地址，
     而是自己花钱买的公网IP地址；

     数据在传输过程中，IP地址是永远不会变化的（默认情况下）。

     数据在传输过程中，MAC地址是随时变化的，每经过一个网段，都会
         变化一次。

     NAT：
        将内网的数据包中的源IP地址，转换为购买的公网IP地址；

        NAT工作的时候，是依靠一个核心工作表：
                                             NAT转换表；
                    私有地址1   -----  公有地址1

   私有：公有 =====   1:1

动态NAT：
在边界设备上，设备基于数据包触发而形成的 NAT 转换条目，
不需要人工干预。如果一个NAT转换条目在一段时间之内不使用，
在会自动的在 NAT 转换表中自动删除；

   -基本动态NAT
            私有:公有  ===== 1:1

   -P-NAT（端口复用）
            私有:公有  ===== N:1

问题：
    内网主动ping外网，是可以通的；
    反之，则不通。

原因：

 in        路由表
           NAT表        out  

NAT高级应用：
端口映射

ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011  

-作用：
匹配感兴趣的流量。
-实现：
#规则
#动作(允许/拒绝)
#事件
-表示：

ID

   # name 

-类型：
#标准ACL/基本ACL
ID
name
#扩展ACL/高级ACL
ID
name

ACL的配置思路：

0、确保原有数据的连通性(基于现网需要来确定)；
      在没有实施ACL之前，PC-1 与 PC-2 之间是互通的；

1、查看设备上已经存在的ACL
      [R1] display acl [2000] | all 

2、创建ACL
      [R1] acl 2000 [match-order  {config} | {auto} ]
      [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0 

3、调用ACL
      [R1]interface gi0/0/0
      [R1-gi0/0/0]tranffic-filter inbound acl 2000
4、验证、测试、保存

      display acl 2000 //查看ACL的配置条目信息；
      display traffic-filter applied-record //查看ACL的调用信息；
      display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
                       //查看特定端口上调用的ACL的使用信息；
      ping x.x.x.x
      save 

实验拓扑图：

PC-1 ---> PC-2
   #研究清楚流量的转发路径（来回路径）
        &干掉去的流量
        &干掉回的流量
   #研究流量本身(特点+结构)

          L2 +  L3 + ICMP + FCS 

              ip-acl
                   L3
                     source-ip  +  destination-ip
                          基本ACL
                               -仅仅关注IP头部中的 source-ip ;
                          高级ACL
                               -可以同时关注 source 和 destination ，
                                 并且，还可以关注 IP 头部后面的内容，
                                 比如 TCP/UDP             

====================================================================

删除ACL：
1、正确的删除姿势
#首先解除 ACL 调用关系
Interface gi0/0/0
undo traffic-filter inbound

       #其次删除 ACL 条目本身
           undo acl 2000 

       #最后删除的最终结果

2、当调用一个不存在的 ACL 时，表示的是允许所有；

注意：
1、同一个端口的，同一个方向，只能同时存在一个 ACL ；

2、如果想更改端口上调用的 ACL ，必须：
   首先，删除端口上的 ACL 调用命令；
   再次，重新调用一个新的 ACL ； 

3、端口上的 ACL ，不允许直接覆盖；

4、华为中的ACL，没有匹配住的流量，默认是允许的；

5、基本ACL/标准ACL，强烈建议调用在“距离目标设备”近的地方；

  1、命名的ACL在创建的时候，需要指定类型；
  2、在ACL中，如果不写 source 或者不写 destination ，则表示所有源或目标
  3、在配置ACL的过程中，如果在输入 source 或 destination 的时候，直接回车
     则代表“所有”；

=================================================================

R2：PC1-PC2不通，其他全部互通；
  1、创建ACL
       [R2]acl 3000
       [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
                                           destination 192.168.10.1 0.0.0.0
  2、调用ACL
       [R2]interface gi0/0/0
       [R2-gi0/0/0]traffic-filter inbound acl 3000
  3、验证、测试、保存
       display acl 3000
       display traffic-filter applied-record
       PC2:
          ping 192.168.10.1 ,no
          ping 192.168.10.3 ,yes
       PC4/5:
          ping x.x.x.x , yes 

       <R2>save

R2:PC4/5与全网其他主机互通，其他流量全部不通；
   1、创建ACL
         [R2]acl name Only-PC4-5 advance
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
         [R2-acl-advance-Only-PC4-5]rule 100 deny ip
   2、调用ACL
         [R2]interface gi0/0/0
         [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
   3、验证、测试、保存 

===============================================================

小实验配置需求：
1、PC-1与PC-2之间的任何类型的流量都无法互通；
2、PC-3可以 ping 192.168.30.88(server-2)，但是无法 ping www.ntd1711.com ；
3、PC-4与PC-3之间的任何类型的流量都无法互通；
4、Client-1 可以 ping www.ntd1711.com，但是无法通过自带的浏览器打开
   Server-2中的 web 功能（即，www.ntd1711.com）

   秘诀：
       想要控制流量，必须先认识流量的封装方式、使用的协议；
       想要控制流量，必须先认识流量的转发路径和方向；

原文地址：http://blog.51cto.com/13560878/2079009