以后配置ACL都要使用命名扩展ACL,这是所有设备都支持并且都在推荐使用的,而有些设备没有编号ACL的(如神州数码就没有编号ACL)。使用命名ACL之间没有先后顺序之分。
实战中出现的问题:数据包在网络层时是先路由再NAT的(这个没问题),但选择好路由之后,数据包没有符合NAT中的ACL要求,可是数据包就直接从这个出口出去了,why??? 这与我们下面的实验是不同的,下面的实验在符合路由且符合NAT中的ACL这才从此出口出去,否则将从默认路由且允许所有NAT的出口出去的。这难道是模拟器的缺陷???经过实战多个项目可知,下面实验确实是模拟器的缺陷才得出做NAT时访问控制列表有顺序的结论(下面实验是在没有实战之前做的),真正的结论是当数据包选择好路由的下一跳(出口)后,它就直接从下一跳(出口)转发,如果符合NAT中的ACL,那么数据包就做NAT的地址转换之后转发,但即使不符合NAT中的ACL,数据包也一样从这下一跳(出口)转发。记住是先路由之后才NAT。
实验注意要点:
1、实现在一个路由器上做一个局域网对多个出口的NAT技术,必须要使用扩展访问控制列表才能实现。
2、在一个物理接口上划分出的子接口间也可以做NAT,即一个为局域网,另一个为外网出口。
3、访问控制列表是严格按照序列号(list 1、2、、、200、、)来过滤筛选的,所以要配置之前要设计好先后顺序,否则会使后边的列表失效。
实验拓扑图:
router0:
外网:g0/1:100.1.1.1/24
专网1:g0/2:90.1.1.1/30
专网2:g0/0.1:10.1.1.254/24
本地局域网:g0/0.2:192.168.1.254/24
本实验中除了router0外,其他路由器与交换机只配置接口IP与telnet功能没有添加任何路由协议。
错误做法:起初在router0上使用标准访问控制列表做NAT的结果。
1、同个list 1同源IP做多次NAT,只对当前做完的出口NAT有效,前一次有效的NAT出口马上失效。原因标准访问列表只针对源IP进行过滤筛选,因此同一个list 1且同源IP时,使用一次后,前一次只能失效。
2、不同list1、list2、list3同源IP分别做三个NAT出口,访问控制列表筛选原则是按list序号检查过滤当满足条件后停止进行下一条list过滤。但在list1检查过滤时就发现条件满足,所以就从list1对应出口直接做NAT&#