目录
一、ACL
1.ACL介绍
ACL(访问控制列表):用于过滤流量。例如:在同一个vlan 中要允许PC1可以访问服务器A,但是PC2不能访问服务器A,这种情况就需要使用ACL。原理是在数据包经过路由器时,由于路由器开启了ACL所以会对报文进行检查做出相应的处理。
2.ACL的两种应用及匹配机制
①应用在端口的ACL,用于过滤数据包。
②应用在路由协议,匹配对应的路由协议。
匹配机制:规则自上而下依次匹配,一旦匹配不再向下,例如第一条是允许所有1.1.1.0/24 段ip通过,那么第二条拒绝1.1.1.2/32 访问的规则就不会再生效
3、ACL基本种类
2000-2999:基本ACL,只能根据数据包中的源IP,对数据包进行处理
3000-3999:高级ACL,可以根据数据包中的五元组(源IP地址,目的IP地址,源Mac地址,目的Mac地址,协议端口号)对数据包进行处理。
4000-4999:二层ACL,Mac、VLAN-id、根据这些条件对数据包进行处理
4.ACL配置命令
①ACL 2000 ## 创建基础ACL
②rule permit(deny) source 1.1.1.1 ##添加规则允许、拒绝 源IP为1.1.1.1的地址
③int g/0/0/1 ##进入要配置的端口
④traffic-filter oubound(inbound) ACL 2000 ## 在入口或出口调用ACL 2000 的规则
5.实验
(1)配置PC1和PC2的IP、掩码以及网关
(2)配置路由器
<Huawei>u t m 屏蔽提示信息
<Huawei>sys 进入视图模式
[Huawei]int g0/0/0 进入g0/0/0端口
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24 配置IP地址
[Huawei-GigabitEthernet0/0/0]int g0/0/1 进入g0/0/1端口
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.254 24 配置IP地址
(3)检测双向连通性
(4)在路由器上设置ACL 并在g/0/01口设置规则不允许192.168.1.1访问192.168.3.1服务器,配置完毕检测访问结果,PC1不能访问server,PC2可以server至此实验完毕。
![](https://i-blog.csdnimg.cn/blog_migrate/0e88bb670a12822990131966ec259845.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c14ccc20628a36bf3ced60d8d2bd5e85.png)
二、NAT
1.做出拓扑图,并标识地址
2.配置好pc1和pc2的ip地址、子网掩码、网关
3.配置AR1路由
<Huawei>u t m 屏蔽提示信息
<Huawei>sys 进入系统视图
[Huawei]interface g0/0/0 进入g0/0/0端口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 配置IP地址
[Huawei-GigabitEthernet0/0/0]interface g0/0/1 进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]ip address 200.1.1.1 24 配置IP地址
4.配置AR2路由
<Huawei>u t m 屏蔽提示信息
<Huawei>sys 进入系统视图
[Huawei]interface g0/0/0 进入g0/0/0端口
[Huawei-GigabitEthernet0/0/0]ip address 200.1.1.254 24 配置IP地址
5. 路由器R1上添加ACL规则并在出口上应用nat,PC1和PC2到达出口路由器地址nat成出口地址的目的访问外网。
[Huawei]acl 2000 创建控制表 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 添加规则允许源地址为192.168.1.0的用户允许通过0.0.0.255为通配符掩码[Huawei-acl-basic-2000]q 返回系统视图
[Huawei]int g0/0/1 进入g0/0/1端口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 配置出口nat并调用acl 200规则
6.检测双向连通性