答疑整理：

一、访问控制列表简介

　　访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

　　访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

　　下面是对几种访问控制列表的简要总结。

　　1.标准IP访问控制列表
　　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

　　2.扩展IP访问控制列表
　　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

　　3.命名的IP访问控制列表
　　　所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

　　4.标准IPX访问控制列表
　　　标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。

　　5.扩展IPX访问控制列表
　　　扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。

　　6.命名的IPX访问控制列表
　　　与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。
　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

二、网络地址转换NAT介绍

　　网络地址转换(NAT, Network Address Translation )被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了l P地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器未实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

　　NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态 NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。

　　 由1994年NAT技术问世以来，NAT技术很快在企业LAN领域得到广泛应用。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部 Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。

　　NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。

　　如果ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术得以完美实现。然而，如果只获得1个合法IP地址，虽然可以采用端口复用地址转换技术，实现整个网络的Internet接入。但是，由于服务器也采用动态端口，Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢？当然，这就是TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT.不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。