目錄

一.ACL

1.概念

2.原理

3.應用

4.種類

5.通配符

1.命令

2.區(qū)別

3.例題

4.應用原則

6.實驗

1.實驗目的

2.實驗拓撲

3.實驗步驟

7.實驗拓展

1.實驗目的

2.實驗步驟

3.測試

二.NAT

1.基本理論

2.作用

3.分類

靜態(tài)nat

動態(tài)nat

NATPT NAT Sever

?Easy-IP

4.工作原理

1.內(nèi)部網(wǎng)絡

2.路由器上的NAT配置

3.數(shù)據(jù)包發(fā)送

4.建立映射表

5.響應數(shù)據(jù)包接收

6.映射表維護

5.實驗

靜態(tài)NAT

1.實驗目的

2.實驗拓撲

3.實驗步驟

動態(tài)NAT

1.實驗目的

2.實驗步驟

建立地址池

設置基礎ACL，并配置規(guī)則

進入接口，配置NAT

測試

?編輯端口映射

1.實驗目的

2.實驗拓撲

3.實驗步驟

Easy IP

1.實驗目的

---

一.ACL

1.概念

ACL:（Access Control List ）訪問控制列表

ACL是由一系列permit或deny語句組成的，有序規(guī)則的列表

ACL是一個匹配工具，能夠?qū)笪倪M行匹配和區(qū)分

2.原理

• 過濾流量，然后匹配規(guī)則判斷通過或拒絕
• NAT匹配感興趣的流量

3.應用

• 匹配IP流量
• 在Traffic-filter中被調(diào)用
• 在NAT（Network Address Translation）中被調(diào)用
• 在路由策略中被調(diào)用
• 在防火墻的策略部署中被調(diào)用
• 在QoS中被調(diào)用

4.種類

• 基本ACL----編號2000-2999---依據(jù)依據(jù)數(shù)據(jù)包當中的源IP地址匹配數(shù)據(jù)（數(shù)據(jù)時從 哪個IP地址 過來的）
• 高級ACL----編號3000-3999---依據(jù)數(shù)據(jù)包當中源、目的IP，源、目的端口、協(xié)議號匹配數(shù)據(jù)
• 二層ACL----編號4000-4999---MAC、VLAN-id、802.1q

5.通配符

1.命令

通配符掩碼? ?rule deny source 192.168.1.0

2.區(qū)別???????

子網(wǎng)掩碼、反掩碼和通配符掩碼

子網(wǎng)掩碼	1111	0主機	配置ip地址時候用連續(xù)的1來表示網(wǎng)絡位
反掩碼	0000	1主機	路由協(xié)議（ospf協(xié)議）連續(xù)0來表示網(wǎng)絡位
通配符掩碼	可以0	1穿插主機	0不可變1可變

3.例題

172.16.1.1 ?0.0.0.0 ? ?與 ? 172.16.0.0 ?0.255.0.0 ?在路由器PTA上使用這兩個ACL匹配路由條目，則下列哪些條目將會被匹配上？（多選）

A.172.16.1.1 / 32

B.172.16.1.0 / 24

C.192.17.0.0 / 24

D.172.18.0.0 / 16

解：172.16.1.1 ? 0.0.0.0的通配符為0.0.0.0，代表172.16.1.1 ?所有該路由地址不可變，故選A；172.16.0.0 ?0.255.0.0的通配符為0.255.0.0，代表172.16.0.0的路由地址中的16可變，其他地址不可變，故選D。

10.1.11.0 ? 0.0.254.255 ?會和以下哪些條目匹配上？

A. 10.1.1.4

B. 10.1.2.4

C. 10.1.5.4

D. 10.1.9.0

解：10.1.11.0 ?0.0.254.255的通配符為0.0.254.255，代表10.1.11.0的前兩位固定10.1，無法排除錯誤答案；254.255其中254位的11代表其為基數(shù)可變位，255位代表隨意可變位，故選答案ACD

4.應用原則

• 基礎ACL：盡量離目標點近
• 高級ACL：盡量離出發(fā)點近

6.實驗

1.實驗目的

過濾掉一個數(shù)據(jù)流量，使得客戶機不能訪問系統(tǒng)端

2.實驗拓撲

???????

3.實驗步驟

進入系統(tǒng)，修改名稱

sys

sys R1

進入g0/0/0接口（int g0/0/0），配置IP地址作為網(wǎng)關(guān)（ip add 192.168.1.254 24）

進入g0/0/1接口（int g0/0/1），配置IP地址作為網(wǎng)關(guān)（ip add 192.168.2.254 24）

進入g0/0/2接口（int g0/0/2），配置IP地址作為網(wǎng)關(guān)（ip add 192.168.3.254 24）

在路由器R1中設置基礎ACL?2000（acl 2000），為基礎ACL2000設置過濾條件為192.168.1.1? 0?（要對192.168.1.1? 0?的地址進行拒絕處理）（rule deny source 192.168.1.1 0）<當前rule的編號被默認定為5>

在接口下調(diào)用ACL分為兩個方向（inbound/outbound），使用（traffic-filter outbound acl 2000）控制數(shù)據(jù)向接口外發(fā)送數(shù)據(jù)時執(zhí)行ACL?

測試

客戶機Client1不可以正常訪問Server1

客戶機Client2可以正常訪問Server1

客戶機Client1可以正常訪問客戶機Client2

7.實驗拓展

1.實驗目的

使Client1不能訪問服務器1的http（www）服務

2.實驗步驟

承接上述實驗繼續(xù)進行操作，在路由器R1中設置高級ACL3000（acl 3000），為高級ACL3000設置規(guī)則為192.168.1.1 ?0 的出口地址可以訪問192.168.2.1 ?0的出口地址 www （rule deny tcp source ?192.168.1.1 0 destination 192.168.2.1 ?0 ?destination-port eq www）
在路由器R1中進入g0/0/0接口（int g0/0/0），設置流量過濾，使192.168.1.1? 0 不能去訪問192.168.2.1 的tcp 80 端口（www.web 服務） （traffic-filter inbound acl 3000）

3.測試

測試客戶機Client1能否訪問系統(tǒng)端Server1

二.NAT

1.基本理論

NAT（Network Address Translation）網(wǎng)絡地址轉(zhuǎn)換是一種將私有IP地址轉(zhuǎn)換為公有IP地址的技術(shù)，以實現(xiàn)多個設備共享一個公網(wǎng)IP地址，并能夠訪問互聯(lián)網(wǎng)。NAT通常用于企業(yè)、家庭等內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的通信。???????

從私網(wǎng)--->外網(wǎng)將源私網(wǎng)地址改為源公網(wǎng)地址

從外網(wǎng)--->內(nèi)網(wǎng)將目的公網(wǎng)改為目的私網(wǎng)地址

2.作用

通過對網(wǎng)絡地址轉(zhuǎn)換，實現(xiàn)內(nèi)網(wǎng)地址與公網(wǎng)地址的相互訪問

3.分類

靜態(tài)nat

一個私網(wǎng)地址對應一個公網(wǎng)地址

動態(tài)nat

會規(guī)定一個公網(wǎng)地址池，容量有限

NATPT NAT Sever

內(nèi)網(wǎng)服務器對外提供服務，針對目的IP和目的端口映射

?Easy-IP

使用一個公網(wǎng)地址可以讓所有人都可以上公網(wǎng)

一個公網(wǎng)地址最多可以讓65536個人上網(wǎng)；企業(yè)或家庭所使用的網(wǎng)絡為私有網(wǎng)絡，使用的是私有地址；運營商維護的網(wǎng)絡為公共網(wǎng)絡，使用的是公有地址。私有地址不能在公網(wǎng)中路由；NAT一般部署在連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)關(guān)設備上。

4.工作原理

1.內(nèi)部網(wǎng)絡

在內(nèi)部網(wǎng)絡中，設備使用的是私有IP地址，這些地址不會被路由到公共互聯(lián)網(wǎng)上。

2.路由器上的NAT配置

路由器上需要啟用NAT功能，并配置至少一個公網(wǎng)IP地址作為出口地址。

3.數(shù)據(jù)包發(fā)送

當內(nèi)部網(wǎng)絡中的設備向外部網(wǎng)絡發(fā)送數(shù)據(jù)包時，路由器會將數(shù)據(jù)包的源IP地址和端口號替換為自己的公網(wǎng)IP地址和一個新的端口號。

4.建立映射表

路由器會創(chuàng)建一個映射表，記錄下每個內(nèi)部IP地址及其對應的公網(wǎng)IP地址和端口號。

5.響應數(shù)據(jù)包接收

當外部網(wǎng)絡返回的數(shù)據(jù)包到達路由器時，路由器會根據(jù)映射表找到對應的內(nèi)部IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給該設備

6.映射表維護

如果長時間沒有數(shù)據(jù)包經(jīng)過某個映射關(guān)系，路由器可能會刪除這個映射，以釋放資源。

5.實驗

靜態(tài)NAT

靜態(tài)NAT實現(xiàn)了私有地址和公有地址的一對一映射；一個公網(wǎng)IP只會分配給唯一且固定的內(nèi)網(wǎng)主機

1.實驗目的

使企業(yè)內(nèi)私網(wǎng)客戶端可以訪問公網(wǎng)地址

2.實驗拓撲

3.實驗步驟

修改名稱

進入R1

sys

sys? QY

進入R2

sys

sys ISP

在企業(yè)出口路由器中進入g0/0/0接口（int g0/0/0），配置IP地址作為網(wǎng)關(guān)（ip add 192.168.1.254 24）

在企業(yè)出口路由器中進入g0/0/1接口（int g0/0/1），配置IP地址作為網(wǎng)關(guān)（ip add 200.0.0.1 24）

?在g0/0/1接口，配置NAT（nat static enable）

在運營商設備中進入g0/0/0接口（int g0/0/0），配置IP地址作為網(wǎng)關(guān)（ip add 200.0.0.2?24）

在企業(yè)出口路由器中的g0/0/1，配置NAT轉(zhuǎn)換，將通過的私網(wǎng)地址192.168.1.1 轉(zhuǎn)為 200.0.0.100（nat static global 200.0.0.100 inside 192.168.1.1），將通過的私網(wǎng)地址 192.168.1.2 轉(zhuǎn)為 200.0.0.200（nat static global 200.0.0.200 inside 192.168.1.2）

測試

測試PC1、PC兩個私網(wǎng)地址是否可以ping通運營商設備的公網(wǎng)地址

動態(tài)NAT

• 動態(tài)NAT基于地址池來實現(xiàn)私有地址和公有地址的轉(zhuǎn)換
• 網(wǎng)絡地址端口轉(zhuǎn)換NAPT允許多個內(nèi)部地址映射到同一個公有地址的不同端口

1.實驗目的

使企業(yè)內(nèi)私網(wǎng)客戶端可以訪問公網(wǎng)地址

2.實驗步驟

將靜態(tài)NAT實驗中配置好地址轉(zhuǎn)換的命令取消

（undo nat static global 200.0.0.100 inside 192.168.1.1）

（undo nat static global 200.0.0.200 inside 192.168.1.2）

（undo nat static enable）

建立地址池

為企業(yè)出口路由器建立地址池組1（私網(wǎng)可轉(zhuǎn)公網(wǎng)范圍為200.0.0.10 ~? 200.0.0.50）（nat address-group 1 200.0.0.10 ?200.0.0.50）

設置基礎ACL，并配置規(guī)則

對企業(yè)出口路由器設置基礎ACL（acl 2000），配置規(guī)則私網(wǎng)地址192.168.1.0段192.168.1.0? ?“0”可變??“192.168.1”?不可變（rule permit source 192.168.1.0 0.0.0.255）

進入接口，配置NAT

在企業(yè)出口路由器中進入g0/0/1接口（int g0/0/1），配置NAT放行流量應用基礎ACL地址組1（nat outbound 2000 address-group 1）

測試

測試PC1、PC兩個私網(wǎng)地址是否可以ping通運營商設備的公網(wǎng)地址

端口映射

NATPT——NAT Sever? 內(nèi)網(wǎng)服務器對外提供服務，針對目的IP和目的端口映射

內(nèi)網(wǎng)服務器的相應端口映射成路由器公網(wǎng)ip地址的相應端口

1.實驗目的

家庭客戶機需要訪問內(nèi)網(wǎng)服務器

2.實驗拓撲

3.實驗步驟

在運營商設備中進入g0/0/1接口（int g0/0/1），配置IP地址作為網(wǎng)關(guān)（ip add 202.0.0.254 24）

進入接口配置NAT映射
在企業(yè)出口路由器中進入g0/0/1接口（int g0/0/1），刪除動態(tài)NAT放行流量應用基礎ACL地址組1（undo nat outbound 2000 address-group 1）配置NATPT映射（家庭客戶機如果想訪問服務器相當于訪問企業(yè)出口路由器）（nat server protocol tcp global current-interface www inside 192.168.1.100 www）配置默認路由（ip route-static 0.0.0.0 0 200.0.0.2）

測試

Easy IP

• Easy IP允許將多個內(nèi)部地址映射到網(wǎng)關(guān)出接口地址上的不同端口
• 使用一個公網(wǎng)地址可以讓所有人都可以上公網(wǎng)
• 一個公網(wǎng)地址最多可以讓65536個人

1.實驗目的

允許內(nèi)網(wǎng)客戶機和家庭服務機互通

2.實驗步驟

在企業(yè)出口路由器上刪除NATPT映射（undo ?nat server protocol tcp global current-interface?
www inside 192.168.1.100 www）配置Easy IP（nat outbound 2000）

測試

測試PC1是否與客戶端Client互通