华为nat，acl简单应用，华为设备实现外网通信

华为外网通信 acl ，nat

1. 如图所示外网已经实现通信

2. 公网路由器配ip就不说了

3. 首先先做pat转换使内网全部用户可出去公网

命令如下
首先进入公司网关 R2
ip route-static 0.0.0.0 0.0.0.0 202.2.12.2 ：配置默认路由找公网
ospf （我这默认是1，前面内网是哪个就写哪个）
default-route-advertise ：向ospf区域注入默认路由

nat address-group 1 202.2.12.100 202.2.12.100 ：地址池可以是多个，这里只要一个是pat
acl 2000
rule 0 permit source 10.0.0.0 0.255.255.255
interface S 4/0/0
nat outbound 2000 address-group 1

发现ospf区域主机可以通信，而rip区域主机不能通信

查看ospf区域主机路由器，有默认路由

查看rip区域主机，没有默认路由

rip区域重分发
进入R3（ospf，rip交际路由器）
rip
default-route originate

rip区域主机已经可以通信

4. 配置静态转换实现内访外

进入 R2 ，外网口（必须是）
interface S 4/0/0
nat server global 202.2.12.66 inside 10.1.100.100

是（外网口）打成拼音了。。。
外网主机ping服务区转换后的公网地址

5. acl 禁止10.1.21.0和10.1.22.0网段和外网通信

进入R2
acl 3000（ 基本为2000 —2999，高级3000—3999） rule 后面的号表示ACL规则的生效顺序。
rule 0 deny ip source 10.1.21.0 0.0.0.255 destination any
rule 1 deny ip source 10.1.22.0 0.0.0.255 destination any
interface G 0/0/0 (这里，放在内网口，只用做一条，因为要限制主机来自rip区域，rip区域，走R3路由器，连R2路由器G0/0/0 口，而且出去外网只要这一条路。
traffic-filter inbound acl 3000

验证

实验已完成。