4 实验五:访问控制列表—NAT应用
4.1 实验目的和内容
(1)掌握ACL在企业网络中的应用
(2)掌握ACL的工作原理
(3)掌握ACL的配置
4.2 实验过程
4.2.1 基本ACL
(1)拓扑图
图24 基本ACL拓扑图
(2)实验代码
交换机
system-view
vlan batch 2 3
interface gigabitethernet 0/0/2
port link-type access
port default vlan 2
interface gigabitethernet0/0/3
port link-type access
port default vlan 3
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 2 3
路由器
system-view
interface gigabitethernet 0/0/1.1
dot1q termination vid 2
ip address 192.168.2.254 24
arp broadcast enable
interface gigabitethernet 0/0/1.2
dot1q termination vid 3
ip address 192.168.3.254 24
arp broadcast enable
acl 2000 rule deny source 192.168.2.0 0.0.0.255
interface gigabitethernet 0/0/0
ip address 192.168.4.254 24
traffic-filter outbound acl 2000
(3)结果
图25 基本ACL结果
4.2.2 高级ACL
(1)拓扑图
图26 高级ACL拓扑图
(2)结果
图27 高级ACL结果
4.3 实验分析
ACL可以通过定义规则来允许或拒绝流量的通过。
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。
图28 ACL分类
4.4 实验心得
(1)通过这次实验学会了配置ACL 和NAT,通过配置访问控制列表懂得了可以怎么允许什么IP到哪个网络,或者禁止哪个IP通过路由器,或者禁止哪个IP到服务器;通过配置网络地址转换懂得了怎么把一个内部使用的IP包装成一个可以供路由器使用的IP地址,解决了目前IP地址不够用的情况,充分体现了人类的智慧。
(2)配置基本ACL的是acl 编号只能是2000-2999,配置高级ACL 的acl编号3000-3999,能配置源IP地址、目的IP地址、 源端口、目的端口。静态NAT配置就要给每个内部的IP分配一个能在外网运行的IP。动态NAT配置是在地址池中寻找一个空闲的可在外网运行的IP,分配给现在需要访问外网的网络。