acl 规则 与nat
ACL
ACL 可以通过定义规则来允许或拒绝访问
分类
ACL 规则, 每个acl可以包含多个规则,根据规则从上到下依次匹配acl规则进行过滤
默认步长为5
配置
1 配置IP地址 [r1-GigabitEthernet0/0/0]ip address 192.168.10.254 24 [r1-GigabitEthernet0/0/1]ip address 192.168.20.254 24 [r1-GigabitEthernet0/0/2]ip address 192.168.30.254 24 2 配置acl 配置简单模式的acl [r1]acl 2000 [r1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 其他都放行 [r1-acl-basic-2000]rule permit source any 在接口出匹配这条acl 在接口出的方向 [r1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 查看 [r1]dis traffic-filter applied-record ----------------------------------------------------------- Interface Direction AppliedRecord ----------------------------------------------------------- GigabitEthernet0/0/2 outbound acl 2000 ----------------------------------------------------------- 高级acl配置 可以设定源地址和目的地址等作为条件 [r1]acl 3000 指定源和目的地址 还有端口 [r1-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.3 0.0.0.0 destination-port eq 21 [r1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 这里四个0表示就是固定指这个IP地址
NAT 网络地址转换
NAT :主要用于实现内部网络的主机访问外部网络。通过NAT 课将其私有地址转换为公有地址,并且多个私有地址转换为一个工友地址,这样既可以保证网络互通,有节省了公网地址
NAT 一般部署在链接内网和外网的网关设备上
NAT 分类:
1 静态NAT
静态NAT 实现了私有地址与工友地址的一对一映射
一个公网地址只会分配给唯一且固定的私有地址, 这样并没有做到节省公网地址作用
2 动态NAT
动态NAT 基于地址池来实现私有地址和公有地址的转换
当地址池的地址用光了,就没有在为后者映射地址,只有等有前面的有IP地址的释放,才可再映射
3 NAPT:
允许多个内网地址映射到同一个公有地址(该地址在地址池内)的不同端口 ,利用端口进行区别
4 Easy IP :
允许将多个内部地址映射到网关出接口地址上的不同端口,这不需要地址池,是简化版的NAPT
配置
1 配置ip [Huawei-GigabitEthernet0/0/0] ip address 192.168.10.254 24 [Huawei-GigabitEthernet0/0/1]ip address 10.10.10.4 24 静态NAT 配置: [Huawei-GigabitEthernet0/0/1]nat static global 10.10.10.3 inside 192.168.10.10 动态NAT 配置 地址池 [Huawei]nat address-group 1 10.10.10.10 10.10.10.50 配置acl规则 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat No-pat: 不转换端口号 配置 Easy IP [r1]acl 2000 [r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 [r1-GigabitEthernet0/0/1]nat outbound 2000 查看 [r1]dis nat session all
NAT 服务器
通过配置NAT 服务器可以使用外网用户访问内网服务器