目录
(2)配置路由AR1输入如下命令禁止pc1与server1通信
(1)建立如下网络关系,目的是让PC1和PC2通过企业路由器从私网转换为公网
(4)在企业出口路由器R1上添加ACL规则并在出口应用NAT
(5)查看PC1与PC2是否能通过NAT访问外网,此时我们成功PING通
一.ACL
1.ACL的概念
ACL:access list访问控制列表
2.ACL的原理
(1)过滤流量,然后匹配规则判断通过或拒绝
(2)NAT匹配感兴趣的流量
3.ACL的种类
基本ACL----编号2000-2999---依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
高级ACL----编号3000-3999---依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
二层ACL----编号4000-4999---MAC、VLAN-id、802.1q
4.通配符掩码
(1)命令
通配符掩码 rule deny source 192.168.1.0
(2)子网掩码、反掩码和通配符掩码
子网掩码 | 1111 | 0主机 | 配置ip地址时候用连续的1来表示网络位 |
反掩码 | 0000 | 1主机 | 路由协议(ospf协议)连续0来表示网络位 |
通配符掩码 | 可以0 | 1穿插主机 | 0不可变1可变 |
5.ACL应用原则
基础ACL:尽量离目标点近
高级ACL:尽量离出发点近
6.实验
(1)首先创建如下网络关系并配置ip和网关
(2)配置路由AR1输入如下命令禁止pc1与server1通信
(3)PC1不能PING,PC2可PING 实验成功
二.NAT
1.NAT原理
从私网--->外网将源私网地址改为源公网地址
从外网--->内网将目的公网改为目的私网地址
2.NAT作用
通过对网络地址转换,实现内网地址与公网地址的相互访问
3.实验
(1)建立如下网络关系,目的是让PC1和PC2通过企业路由器从私网转换为公网
(2)按如下配置PC1和PC2
(3)配置路由器AR1和AR2
(4)在企业出口路由器R1上添加ACL规则并在出口应用NAT
(5)查看PC1与PC2是否能通过NAT访问外网,此时我们成功PING通
(6)通过抓包查看是否使用NAT协议
①首先在PC1上进行长ping ,命令为ping 200.1.1.254 -t
②输入display nat session all查看IP和端口情况
③右键出口路由器选择抓包,选择出口,本拓扑为g0/0/1。如下图
④进入wireshark,查看ICMP协议中的Identifier(LE)后面的是内网端口号