acl实验
步骤一:创建一个控制调用规则
步骤二:调用这个规则
按照拓扑图,部署好设备。
1、分别给三台PC配置好IP、子网掩码、网关。
2、在LSW1中创建vlan10、20、30
vlan batch 10 20 30
3、分别给三个端口配置vlan
int g0/0/1
port link-type access
port default vlan 10
同理配置好g0/0/2、g0/0/3
4、LSW1和LSW2之间的端口配置trunk
port link-type trunk
port trunk allow-pass vlan all
5、在LSW2中,给每个vlan配置IP作为PC的网关
int vlanif 10
ip add 192.168.10.254 255.255.255.01
tips:dis ip int b(查看各个端口的IP是否配置成功)
此时,PC1、PC2、PC3之间能互相ping通。
目标:让PC1不能ping通PC2,其他终端间通讯不变。
1.创建控制规则,在LSW2中加一条acl。
acl name XXX advance(创建一条名叫XXX的acl。acl有两种模式1、advance能配置目标IP和源IP,2、basic只能配置源IP。此处我们需要禁用源IP到目标IP的通讯,所以选择advance)
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 (禁止源IP192.168.10网段访问192.168.30的目标网段。注意此处的掩码是0.0.0.255,是255.255.255.0的反码)
rule permit ip source any destination any(允许其他所有IP通过。注意配置完禁止后,需要配置一条其他IP允许)
q
2.调用这个规则
int g0/0/1(在g0/0/1这个包必经口调用acl规则。所以调用规则必须在这个包的必经接口调用)
tarffic-fiter inbound acl name XXX (在g0/0/1接口,要对进来的包,按照acl名为XXX的规则进行过滤。对进来的包过滤所以此处是inbound,如果针对出去的包过滤,要用outbound)
tips:dis acl all(查看所有的acl信息,确认acl是否配置正确)
nat实验
如上拓扑图配置好设备。
此时内网设备PC1ping不通外网AR2,是因为ping的时候,不同网段找网关,网关是AR1,AR1把包交给AR2,但是AR2没有192.168.1网段的路由,没有回去的包,所以ping不通。
通过nat技术,将192.168.1网段的所有包转换成64.1.1网段发出,AR2有64.1.1网段的路由,所以包能回来,ping通。
在AR1上配置nat。
sy
acl name neiwang basic(配置名为neiwang的acl规则,因为只需要源ip所用此处用basic)
rule permit source 192.168.1.0 0.0.0.255 (允许所有源是192.168.1网段的包通过)
q
nat address-group 1 64.1.1.2 64.1.1.6(配置nat地址组,编号为1,设置内网IP通过nat随机转换为64.1.1.2到64.1.1.6,5个地址中的一个)
int g0/0/1
nat outbound 2999 address-group 1(2999是acl的编号,注意编号可以用dis acl all查看。通过2999号acl规则过滤出去的包,都通过nat转换为地址组为1的IP的包)
此时,内网PC能ping通外网。