ACL(Access Control List:访问控制列表)写规则(rule)用IP全0 ,通配符全0(0.0.0.0 0),不是匹配到所有IP。
先说结论, ACL 的匹配规则 0.0.0.0 0 不能匹配到所有IP地址,匹配的是精确地址这个特殊IP 0.0.0.0。全零这个特殊IP地址,不通情况下,代表的意思不同。
两种ACL 2000、ACL 2001
acl number 2000
rule 5 permit source 0.0.0.0 255.255.255.255
acl number 2001
rule 5 permit source 0.0.0.0 0
ACL 2000 是匹配所有IP地址。
rule 5 permit source 0.0.0.0 255.255.255.255
rule 5 permit source any
rule 5 permit
这个三个是等价的。它们不和ACL 2001 等价。
实验验证
实验拓扑图
实验步骤
步骤一:eNSP左工具栏网络设备区,拖拽所需的设备到工作区,并且互联端口连线。
省略,要在用ACL功能结合NAT功能做验证,路由器AR1上做NAT,不用使用Router保留设备,因为它的nat功能存在但不兼容。
步骤二:配置互联端口IP地址
R1
dhcp enable
interface GigabitEthernet0/0/0
ip address 200.0.0.1 255.255.255.0
dhcp select interfaceR2
dhcp enable
interface GigabitEthernet0/0/0
ip address 100.0.0.1 255.255.255.0
dhcp select interfaceAR1
dhcp enable
interface GigabitEthernet0/0/0
ip address dhcp-alloc
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select interface
interface GigabitEthernet0/0/2
ip address dhcp-allocPC1
使用DHCP方式获取IP地址信息,并且点击按钮应用。
步骤三:配置NAT Easy-ip
AR1
ACL 2001 将结合NAT验证是否和 ACL 2000 等价。
acl number 2000
rule 5 permit
acl number 2001
rule 5 permit source 0.0.0.0 0 GE0/0/0 NAT应用 ACL 2000,GE0/0/2 NAT 应用 2001。
interface GigabitEthernet0/0/0
nat outbound 2000
interface GigabitEthernet0/0/2
nat outbound 2001步骤四:结果验证
假设ACl 2000 和 ACL 2001等价,AR1 GE0/0/0 NAT 正常将内网地址转换成外网地址,AR1 GE0/0/2 NAT 同样也可以,PC1 和 R1可以互通,PC1 和 R2 也可以互通。
假设 ACL 2001 可以匹配到所有IP,那么NAT就能将内网的IP转换公网IP,PC1 和 R2 实现互通。因为结果不是,说明不可以匹配到所有IP,所以ACL 2000 和 ACL不等价。
PC1 IP地址 192.168.1.254 PING 两个外网 R1 IP:200.0.0.1、R2 IP:100.0.0.1来验证, PC1 和 R1、PC1 和 R2 是否都能互通,来验证 ACL 2000和ACL 2001是否等价。
PC>ipconfig
Link local IPv6 address...........: fe80::5689:98ff:fe31:6051
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.1.254
Subnet mask.......................: 255.255.255.0
Gateway...........................: 192.168.1.1
Physical address..................: 54-89-98-31-60-51
DNS server........................:
PC>ping 100.0.0.1
Ping 100.0.0.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 100.0.0.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 200.0.0.1
Ping 200.0.0.1: 32 data bytes, Press Ctrl_C to break
From 200.0.0.1: bytes=32 seq=1 ttl=254 time=15 ms
From 200.0.0.1: bytes=32 seq=2 ttl=254 time=16 ms
From 200.0.0.1: bytes=32 seq=3 ttl=254 time=31 ms
From 200.0.0.1: bytes=32 seq=4 ttl=254 time=16 ms
From 200.0.0.1: bytes=32 seq=5 ttl=254 time=15 ms
--- 200.0.0.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/18/31 ms用 Wireshark 分别在R1的 GE0/0/0 端口 、R2的 GE0/0/0 端口、AR1 GE0/0/1 端口 抓包,查看两处NAT内网地址转换情况,是否都成功转换的内网IP为公网IP,来验证 ACL 2000和ACL 2001是否等价。
PING 200.1.1.1 就是 路由器 R1
R1的 GE0/0/0 端口的数据,内网IP转成了公网IP,数据可达,echo reques和 echo reply都有。
1 0.000000 200.0.0.254 200.0.0.1 ICMP 74 Echo (ping) request id=0x0528, seq=1/256, ttl=127 (reply in 2)
2 0.016000 200.0.0.1 200.0.0.254 ICMP 74 Echo (ping) reply id=0x0528, seq=1/256, ttl=255 (request in 1)
AR1 GE0/0/1 端口的数据 看到内网IP成功访问外网IP,是NAT做了地址转换。
13 284.109000 192.168.1.254 200.0.0.1 ICMP 74 Echo (ping) request id=0xddae, seq=1/256, ttl=128 (reply in 14)
14 284.125000 200.0.0.1 192.168.1.254 ICMP 74 Echo (ping) reply id=0xddae, seq=1/256, ttl=254 (request in 13)
PING 100.1.1.1就是 路由器 R2
R2的 GE0/0/0 端口的数据,只有 request 消息,没有reply消息,而且内网IP地址没有转换。
4 50.219000 192.168.1.254 100.0.0.1 ICMP 74 Echo (ping) request id=0xf3ad, seq=1/256, ttl=128 (no response found!)
AR1 GE0/0/1 端口的数据,只有 request 消息,没有reply消息。
59 7416.953000 192.168.1.254 100.0.0.1 ICMP 74 Echo (ping) request id=0xfbad, seq=5/1280, ttl=127 (no response found!)
从结果上看,在网段100.0.0.0/24 上 设备AR1 GE0/0/2 端口 NAT 应用 ACL 2001 不能到达 100.0.0.1 ,acl 2001 规则和 acl 2000 不等价。
浙公网安备 33010602011771号