网络技术（十二）NAT和ACL的神仙操作

目录

 

一、前言

二、基础知识

         2.1 ACL

         2.2 NAT

三、实验

3.1实验拓扑

---

一、前言

          在目前网络架构中，很多园区网、公司网等都使用到了NAT和ACL，为了打造可靠安全的网络，更是将两者综合使用，接下来我们一起看看，NAT和ACL的神仙操作。

二、基础知识

         2.1 ACL

•               定义：ACL能匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端元素的基础性工具;ACL还能够用于匹配路由条目。
•               分类：

                      基础访问控制列表：只能够对IP头的源IP地址进行匹配。

                      高级访问控制列表：能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配。

•               ACL匹配顺序

                       rule  5 【permit/deny】匹配条件

                       其中5就是这个步，指的是第5步，如果设置rule 10 其中6，7，8，9为冗余。

•               ACL的应用

                      匹配IP流量

                      在traffic-filter中被调用

                     在NAT中被调用

                      在路由策略中被调用

                     在防火墙中被调用

                     在QoS中被调用

•               ACL的标识

                     

种类	范围
基础ACL	2000·2999
高级ACL	3000·3999
二层ACL	4000·4999
自定义ACL	5000·5999

• ACL命令

         基础ACL

             rule 5 deny source 192.168.1.0 0.0.0.255 
             rule 10 permit source 192.168.2.0 0.0.0.255

        高级ACL

            

         2.2 NAT

•                 静态nat: 私有地址和公有地址一对一映射，注意：一个公网地址只能分配给一个固定内网主机

                         命令配置：nat static global  xx.xx.xx.xx (需要映射的外网地址)  inside xx.xx.xx.xx（被映射的内网地址）

•                动态nat：私有地址和共有地址池，形成一对多的映射关系。

                        命令配置：

                                     nat address-group 1 【group组的ID】 1.1.1.0【起始地址】 1.1.1.2【结束地址】----》配置外网地址组

                                      进入端口int g0/0/1

                                     nat outbound 2000 address-group 1 not-pat (动态)

                       

•                esy-IP：多个内部地址映射到网关出口接口地址上的不同端口（注意：外网网址不变，但端口改变）

                   命令配置：

---

                                      进入端口int g0/0/1

                                     nat outbound 2000 

                          

•               NAPT：网络地址端口转换NTP允许多个内部地址映射同一个公有地址的不同端口

                    命令配置：

                                     nat address-group 1 【group组的ID】 1.1.1.0【起始地址】 1.1.1.2【结束地址】----》配置外网地址组

                                      进入端口int g0/0/1

                                     nat outbound 2000 address-group 1

三、实验

3.1实验拓扑

操作步骤

1.配置PC，server和Clinet

server配置

2.配置交换机sw1

3.配置三层交换机

4.配置出口路由器R2

5.路由R4配置

6.Client1配置

测试互通性

 

实验二

实验拓扑图

操作步骤：

1.配置PC和client的IP和网关

2.配置交换机

 创建vlan 10 20 

.

3.在R1路由器配置单臂路由和ACL

(1)配置规则和创建vlan

4.设置R2路由器