ACL 包过滤
ACL 分类
ACL 命令
[Huawei]acl 3000
# 默认规则好号步长为5,如果不写就默认
[Huawei-acl-adv-3000]rule 5 permit icmp source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0
# 在端口上应用 ACL
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
NAT 网络地址转换
静态 NAT
静态 NAT 实现了私有地址和公有地址的一对一映射。
# 一对一的静态 NAT
[RTA-GigabitEthernet0/0/1]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-GigabitEthernet0/0/1]nat static global 202.10.10.2 inside 192.168.1.2
动态 NAT
动态 NAT 基于地址池来实现私有地址和公有地址的转换。使用的时候也是一对一的。
# 创建地址池和 ACL,在接口处应用
[RTA]nat address-group 1 200.10.10.1 200.10.10.200
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
NAPT
同时转变源地址和端口号,需要地址池支撑。
# 创建地址池和 ACL,在接口处应用
[RTA]nat address-group 1 200.10.10.1 200.10.10.200
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 pat
Easy IP
同时转变源地址和端口号,但是转换后的源地址就是端口的地址,不需要地址池支撑。
# 创建 ACL,在接口处应用
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000
NAT Server
俗称 DNAT,可以使得外网用户访问内网服务器。
# 在接口上配置 NAT Server
[RTA]interface GigabitEthernet0/0/1
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
