ACL&NAT

Giggty
94 阅读2分钟

ACL概述

ACL是由permit或deny语句组成的,有序规则的列表 ACL是一个匹配工具,能够对报文进行匹配和区分

ACL两种应用

  1. 应用在接口的ACL--过滤的数据包
  2. 应用在路由协议--匹配相应的路由条目

ACL工作原理

当数据包从接口通过时,由于接口启用ACL,此时路由会对报文检查,然后处理(拒绝/接受)

ACL组成

image.png

ACL种类

编号2000-2999----基本ACL---一句数据包中的源IP地址匹配数据 编号3000-3999----高级ACL---依据数据包当中源,目的IP,源目的的端口,协议号匹配数据 编号4000-4999----二层ACL,MAC,VLAN-id,802.1q

实验拓扑

image.png

配置IP和网关

image.png

image.png

配置路由R1

image.png

配置ACL

image.png

[R1]acl 2000  //启用基本acl
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0  //配置rule规则,拒绝192.168.1.1的访问
[R1-acl-basic-2000]int g0/0/1  进入接口g1
[R1-GigabitEthernet0/0/1]traf	
[R1-GigabitEthernet0/0/1]traffic-filter out	
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //调用acl
[R1-GigabitEthernet0/0/1]display acl 2000 
Basic ACL 2000, 1 rule
Acl's step is 5
 rule 5 deny source 192.168.1.1 0

用c3pingsever3

image.png

无法ping通,实验成功

再pingS4

image.png 可以ping,说明无影响

ANT概念

概念:因为私网地址无法转发,所以私网地址和公网地址无法互相访问,为解决这一问题,可以使用ant来解决

原理:当私网地址去访问公网地址,nat可以将私网地址转换为公网地址

分类:

  • 静态ant,手动将一个IP地址对应一个公网地址
  • 动态ant,私网地址转换公网地址随机转换
  • easy-ip,将一批公网地址设置成一起,一个IP地址进行转换就占用其中一个公网地址,直到占完为止,不够的话需要等待
  • natpt端口映射,将端口和端口直接映射,进行私网和公网的转换,和静态nat差不多

实验拓扑

image.png

R1配置*

image.png

R2配置

image.png

Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 200.1.1.2 24
[Huawei-GigabitEthernet0/0/1]nat static	
[Huawei-GigabitEthernet0/0/1]nat static enable      //打开nat静态接口
[Huawei-GigabitEthernet0/0/1]nat sta	
[Huawei-GigabitEthernet0/0/1]nat static glo	
[Huawei-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1 //配置静态nat 200.1.1.100

用ping访问

image.png

avatar
文章
阅读
粉丝