[系统运维] ensp模拟器下的nat-acl

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 系统运维 -> ensp模拟器下的nat-acl -> 正文阅读

[系统运维]ensp模拟器下的nat-acl

?NAT:Network address Translation （网络地址转换）

实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网地址，减少公网IP地址的占用。

NAT转换条目有两种获得方式：

1.手动添加，即“静态NAT”

2.设备转发数据以后，自动形成的，俗称“动态NAT”

ACL：Access Control list? (访问控制列表）

读取TCP/IP第五层模型的第三层、第四层的报文信息，根据定义好的规则对报文进行过滤。

每个ACL可以包含多个规则，路由器根据匹配的规则后，则不在往下查找。

需求：

1、禁止内网192.168.1.0/24网段访问公网200.1.1.2

2、禁止内网192.168.1.0/24网段访问ftp服务器172.16.1.1

3、禁止内网192.168.2.0/24网段访问web服务器172.16.1.2

4、默认都允许访问，比如192.168.1.0/24网段可以访问web服务器172.16.1.2；192.168.2.0/24网段访问ftp服务器172.16.1.1

以下实验用NAT配置

4、内网192.168.1.0/24网段使用NAT技术访问公网200.1.1.2（静态、动态、EASY-IP）

5、通过公网R2ping访问内网服务器192.168.1.1/24(使用NAT技术，NAT-SERVER)

6、通过公网R2 ftp访问内网服务器172.16.1.1/24(使用NAT技术，NAT-SERVER)

ACL的配置

路由器R1配置：

sys
sysname R1

acl number 2000  
 rule 5 deny source 192.168.1.0 0.0.0.255 
 rule 10 permit

acl number 3000  
 rule 1 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.1 0 destinati
on-port range ftp-data ftp 
 rule 2 deny tcp source 192.168.2.0 0 destination 172.16.1.2 0 destination-port 
eq www 
 rule 5 permit ip 

interface GigabitEthernet0/0/0
 ip address 200.1.1.1 255.255.255.0 
 traffic-filter outbound acl 2000

interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 
 ip address 192.168.2.254 255.255.255.0 sub

interface GigabitEthernet0/0/2
 ip address 172.16.1.254 255.255.255.0 
 traffic-filter outbound acl 3000

路由器R2的配置

sys
sysname R2

interface GigabitEthernet0/0/0
 ip address 200.1.1.2 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 200.1.1.1

NAT配置

R1配置

interface GigabitEthernet0/0/0
undo traffic-filter outbound 

#静态NAT
interface GigabitEthernet0/0/0
ip address 200.1.1.1 255.255.255.0 
nat static global 200.1.1.3 inside 192.168.1.1 netmask 255.255.255.255
nat static global 200.1.1.4 inside 192.168.1.2 netmask 255.255.255.255

nat static global 200.1.1.3 inside 192.168.1.1 netmask 255.255.255.255

#动态NAT
acl number 2001  
rule 5 permit source 192.168.1.0 0.0.0.255 

nat address-group 1 200.1.1.3 200.1.1.5

interface GigabitEthernet0/0/0
undo nat static global 200.1.1.3 inside 192.168.1.1 netmask 255.255.255.255
undo nat static global 200.1.1.4 inside 192.168.1.2 netmask 255.255.255.255
nat outbound 2001 address-group 1 no-pat

#ESAP IP
interface GigabitEthernet0/0/0
undo nat outbound 2001
nat server global 200.1.1.3 inside 192.168.1.1

R2配置：ping? 172.16.1.1

ip route-static 0.0.0.0 0 200.1.1.1


undo nat server global 200.1.1.3 inside 192.168.1.1

interface GigabitEthernet0/0/0
 ip address 200.1.1.1 255.255.255.0 
 nat server protocol tcp global 200.1.1.5 ftp inside 172.16.1.1 ftp