HCIA ACL 和 NAT

1 实验拓扑

2 实验需求

1. 如图所示，配置设备名称和IP地址。GW为模拟企业网关设备，ISP模拟运营商设备。

2. 在GW上使用高级ACL，使得PC1不能访问PC2，满足以下需求：

a) ACL编号为3000

b) 只有一条规则，且序号为5

c) 仅仅拒绝PC1访问PC2的流量，其他任何流量不得拒绝

d) 在入方向上调用该ACL

3. 在GW上部署NAT和默认路由满足以下需求：

a) NAT使用基础ACL，编号为2000，且只有一条规则，序号为5，仅允许PC1所在的网络号

b) PC1访问ISP时会使用GW的G0/0/0地址，并采用端口转换的形式

c) 因PC2需要为外网用户提供服务，企业从ISP处购买了新的公网地址100.1.1.1/32

4. 配置静态NAT，使得外网ISP访问100.1.1.1就可以访问到PC2。

（提示：ISP上没有100.1.1.1/32的路由，企业付费购买公网地址后，ISP需配置静态路由。）

3 配置思路及验证结果

3.1 在网关配置高级 ACL

GW
[Huawei] sysname GW
[GW] interface g0/0/1
[GW-GigabitEthernet0/0/1] ip address 192.168.1.254 24
[GW-GigabitEthernet0/0/1] interface g0/0/2
[GW-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[GW] acl 3000
[GW-acl-adv-3000] rule 5 deny ip source 192.168.1.1 0 destination 192.168.2.1 0
[GW-acl-adv-3000] interface g0/0/01
[GW-GigabitEthernet0/0/1] traffic-filter inbound acl 3000

3.2 验证实验部分现象

PC1 到 PC2 的网关能通，但是不能与 PC2 通信

3.3 在网关部署 NAT 和默认路由

GW
[GW] acl 2000
[GW-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[GW] interface g0/0/0
[GW-GigabitEthernet0/0/0] IP address 12.1.1.1 30
[GW-GigabitEthernet0/0/0] Nat outbound 2000
[GW-GigabitEthernet0/0/0] Nat static global 100.1.1.1 inside 192.168.2.1

\\此处使用nat server global 100.1.1.1 inside 192.168.2.1 亦可。区别在于static可以配置inside地址的掩码，server默认掩码32位。

[GW] ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

3.4 验证部分实验现象

PC1 可以 ISP 互通

3.5 ISP 配置 IP 和静态路由

ISP
[Huawei] sysname ISP
[ISP] ip route-static 100.1.1.1 255.255.255.255 12.1.1.1
[ISP] interface g0/0/0
[ISP-GigabitEthernet0/0/0] IP address 12.1.1.2 30

3.6 验证部分实验现象

ISP 设备 ping 100.1.1.1 这个公网地址，GW 设备看 NAT 的情况