【路由交换技术】ACL、NAT综合实验

一、实验目的

1. 掌握ACL的设计思路、配置方法

2. 掌握静态NAT、动态 NAT、Easy IP、NAPT的配置方法

3. 掌握NAT Server 的配置方法

二、实验环境

华为eNSP模拟器，拓扑如下：

三、实验介绍

访问控制列表 ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL 本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。

网络地址转换 NAT（Network Address Translation）是将 IP 数据报文头中的 IP 地址转换为另一个 IP 地址的过程。作为减缓 IP 地址枯竭的一种过渡方案，NAT 通过地址重用的方法来满足IP 地址的需要，可以在一定程度上缓解 IP 地址空间枯竭的压力。NAT 除了解决 IP 地址短缺的问题，还带来了两个好处：

• 有效避免来自外网的攻击，可以很大程度上提高网络安全性。
• 控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

四、实验思路

1. 配置设备 IP 地址

2. 配置 OSPF，使得网络路由可达

3. 配置 ACL，匹配特定流量

4. 配置静态NAT、动态 NAT、NAPT、Easy IP、NAT Server

五、实施步骤

步骤 1 配置设备 IP 地址

略（参考之前的实验）

步骤 2 配置 OSPF 使网络互通

# 在R1和R2上配置 OSPF，三台设备均在区域 0 中，实现全网互联互通

略（参考OSPF动态路由综合实验）

# 测试当前联通性，PC1为例

因为当前R2没有配置到20.1.2.0/24网段的路由，PC1无法访问PC4。实际情况下，R2也禁止配置到私网IP网段的路由。

步骤 3 配置ACL，匹配特定流量

在 R1 的物理接口G0/0/1上匹配 ACL，只允许 192.168.0.0网段通过

# 配置ACL

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.0.255

[R1-acl-basic-2000]rule 10 deny

# 查看ACL配置信息

步骤 4 配置NAT地址转换

# 配置动态NAT

1. 配置 NAT 地址池

[R1]nat address-group 1 12.2.2.2 12.2.2.5

nat address-group命令用来配置NAT地址池。1代表地址池的编号，地址池必须是一段连续的IP地址集合，当内部数据报文通过地址转换到达外部网络时，其源地址将被地址池转换为其他地址。

2. 在 R1 的 GigabitEthernet0/0/1 接口配置动态 NAT

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来，符合ACL中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时，可以添加no-pat参数，表示使用一对一的地址转换，只转换数据报文的地址而不转换端口信息。

3. 测试联通性，PC1 Ping PC4

# 配置Easy IP

1. 删除上一步骤的配置

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1

2. 配置 Easy IP

[R1-GigabitEthernet0/0/1]nat outbound 2000

Easy IP只需要绑定ACL，使用接口IP即可实现公网访问

3. 测试联通性，PC2 Ping PC4

# 配置NAT Server

1. 在R1上配置NAT Server

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]nat server protocol tcp global 12.2.2.8 www inside 192.168.0.5 www

nat server命令用来定义一个内部服务器的映射表，外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址（global-address）发起连接请求时，NAT将该请求的目的地址替换为私网地址（inside-address）后，转发给私网内的服务器。

2. 测试联通性

开启Web服务器：

Client访问内网Web服务器：

值得注意的是，公网访问内网服务器的地址应该是NAT转换后的公网地址，而不是内网地址。

# 查看 R2 上的 NAT 会话表

display nat session命令用来查看NAT映射表项。

实验成功。

六、实验总结

ACL的设计思路：

1. 使用ACL控制网络流量时，先考虑是使用基本ACL还是高级ACL。基于数据包源IP地址控制，就使用基本ACL；基于数据包的源IP地址、目标IP地址、协议、目标端口进行控制，就使用高级ACL。
2. 然后考虑在哪个路由器上的哪个接口的哪个方向上进行控制。确定了这些才能确定ACL规则中哪些IP地址是源地址，哪些IP地址是目标地址。
3. 在创建ACL规则前，还要确定ACL中规则的顺序。如果多条规则中用到的地址有重叠，就要把地址块小的规则放在前面，地址块大的规则放在后面。

几种NAT类型的优缺点：

1. 静态NAT在连接私网和公网的路由器上配置，每个私网地址都有一个与之对应且固定的公网地址。即私网地址与公网地址是一对一有映射。这种类型的NAT不节省公网IP地址。静态NAT支持双向互访。
2. 动态NAT提出地址池的概念。使用ACL定义哪些地址需要被转换，并不指定用哪个公网地址替换哪个私网地址。内网计算机访问公网，路由器会从公网地址池中随机选择一个没有被使用的公网地址做源地址替换。动态NAT只允许内网主动访问Internet，公网上的计算机不能主动通过公网地址访问内网的计算机。
3. NAPT在从地址池中选择地址时，不仅转换IP地址，还会对端口号进行转换，从而实现了公网地址与私网地址的一对多映射。在路由器中有一张表用于记录地址端口转换。内网计算机使用公网地址池中的IP地址访问Internet，出去的数据包就要替换源IP地址和源端口。网络地址端口转换（NAPT）的应用会节省公网地址。同样，NAPT也只允许内网计算机发起对Internet的访问，反之，不能。这使内网在Internet不可见。
4. Easy IP的实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于Easy IP没有地址池的概念，直接使用接口地址作为NAT转换的公网地址。Easy IP适用于不具备固定公网地址的场景，比如通过DHCP、PPPoE拨号获取地址的网络出口，可以直接使用获取到的动态地址进行转换。
5. NAT Server，当私网网络中的服务器需要对公网提供服务时，就需要在路由器上配置NAT Server，指定[公网地址：端口]与[私网地址：端口]的一对一映射关系，将内网服务器映射到公网。公网主机访问[公网地址：端口]实现对内网服务器的访问。

注意事项：

1. 注意在访问控制列表中的网络掩码是反掩码。
2. 标准访问列表要应用在尽量靠近目标的地址的接口。
3. 标准ACL的编号范围是1～99、1300～1999，扩展访问列表的编号范围是100～199、2000～2999。
4. Web服务器需手动开启，并且在本地计算机创建好相应的文件。
5. 公网访问内网服务器的地址是NAT转换后的公网地址，而不是内网地址。