銳捷常用的ACL實(shí)驗(yàn)

實(shí)驗(yàn)配置

綠色R1 藍(lán)色R2 R3只需要配置相應(yīng)的IP地址就可以，不用做其它操作

R1與R2配置OSPF

interface GigabitEthernet 0/0

no switchport

ip address 10.0.10.254 24

interface GigabitEthernet 0/1

no switchport

ip address 10.0.20.1 24

router ospf 100

router-id 1.1.1.1 配置Router-id

network 10.0.10.0 0.0.0.255 area 0 在區(qū)域0宣告10.0.10.0/24網(wǎng)段

network 10.0.20.0 0.0.0.255 area 0

interface GigabitEthernet 0/0

no switchport

ip address 10.0.20.2 24

ip ospf priority 255 配置OSPF接口優(yōu)先級(jí)，選舉DR

interface GigabitEthernet 0/1

no switchport

ip address 1.1.1.2 24

router ospf 100

router-id 2.2.2.2

network 10.0.20.0 0.0.0.255 area 0

default-information originate always 向OSPF區(qū)域下發(fā)缺省路由（無(wú)論自己是否配置了缺省靜態(tài)）

在R2上配置NAT+ACL

配置ACL匹配流量

Ip access-list standard 111 配置標(biāo)準(zhǔn)ACL（只可以匹配源IP地址）

10 permit 192.168.10.0 0.0.0.255 匹配IP地址為192.168.10.0/24報(bào)文

20 deny any

配置NAT地址池——通過(guò)1.1.1.1這個(gè)地址做NAT

ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255

配置NAT內(nèi)、外網(wǎng)口

interface GigabitEthernet 0/1

ip nat outside

interface GigabitEthernet 0/0

ip nat inside

配置源nat轉(zhuǎn)換策略

ip nat inside source list 111 pool 出去 overload

內(nèi)網(wǎng)口接收到的報(bào)文匹配到acl時(shí)做源NAT轉(zhuǎn)換，轉(zhuǎn)換為Pool的地址

Overload代表端口也會(huì)轉(zhuǎn)換

ACL講解

銳捷常用的ACL

常用的ACL主要有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL

標(biāo)準(zhǔn)ACL Standard

標(biāo)準(zhǔn)ACL的編號(hào)范圍：1-99和1300-1999

標(biāo)準(zhǔn)ACL只匹配源ip地址

擴(kuò)展ACL Extended

擴(kuò)展ACL的編號(hào)范圍：100-199和2000-2699。

擴(kuò)展ACL可以匹配數(shù)據(jù)流的五大元素（源ip地址、目的ip地址、源端口、目的端口、協(xié)議號(hào)）

銳捷ACL匹配順序

ACL的匹配順序?yàn)閺纳贤拢ˋCE序號(hào)從小到大）匹配ACE條目，若匹配對(duì)應(yīng)的ACE條目后，就執(zhí)行該ACE條目的行為（允許/拒絕），不會(huì)再往下匹配其他ACE條目。

ACL最后隱含一條 deny any 的ACE條目，會(huì)拒絕所有流量。

若是禁止某網(wǎng)段訪問(wèn)，其他網(wǎng)段均放通，則應(yīng)該在拒絕流量的ACE配置完成后，再加一條permit any的ACE條目，用來(lái)放行其他流量。

銳捷NAT相關(guān)配置

Ip access-list extended/standard 編號(hào) 進(jìn)入ACL視圖配置策略

ip access-group 編號(hào) in/out 接口下配置，在接口調(diào)用ACL

show access-lists 查看配置了ACL轉(zhuǎn)換表項(xiàng)

NAT講解

銳捷NAT的術(shù)語(yǔ)

Inside：內(nèi)部

Outside：外部

Inside local：內(nèi)部本地地址（內(nèi)部主機(jī)的實(shí)際地址，一般為私有地址）

Inside global：內(nèi)部全局地址（內(nèi)部主機(jī)經(jīng)NAT轉(zhuǎn)換后去往外部的地址，是ISP分配的合法IP地址）

Outside local：外部本地地址（外部主機(jī)由NAT設(shè)備轉(zhuǎn)換后的地址，一般為私有地址，內(nèi)部主機(jī)訪問(wèn)該外部主機(jī)時(shí)，認(rèn)為它是一個(gè)內(nèi)部的主機(jī)而非外部主機(jī)）

Outside global：外部全局地址（外部主機(jī)的真實(shí)地址，互聯(lián)網(wǎng)上的合法IP地址）

銳捷NAT地址池配置

第一種：ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255

第二種：ip nat pool 出去 netmask 255.255.255.255

address 1.1.1.1 1.1.1.1

銳捷源NAT策略配置（轉(zhuǎn)換源地址）

出接口源NAT轉(zhuǎn)換

ip nat inside source list [acl編號(hào)] interface [接口] overload

地址池源NAT轉(zhuǎn)換

ip nat inside source list [acl編號(hào)] pool [地址池名稱] overload

靜態(tài)一對(duì)一源NAT轉(zhuǎn)換

可以基于IP地址進(jìn)行一對(duì)一轉(zhuǎn)換

也可以基于TCP、UDP協(xié)議進(jìn)行端口一對(duì)一轉(zhuǎn)換

基于IP地址的一對(duì)一映射

ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside

把內(nèi)網(wǎng)172.16.1.100 映射成公網(wǎng)的192.168.2.168

基于TCP UDP協(xié)議的端口映射

ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23

將內(nèi)網(wǎng)地址172.16.1.100的23號(hào)端口服務(wù)映射為192.168.2.168的23號(hào)端口

若不加overload是執(zhí)行動(dòng)態(tài)的ip一對(duì)一映射，不會(huì)執(zhí)行端口轉(zhuǎn)換，不能解決公網(wǎng)地址不夠的問(wèn)題。

show ip nat teanslatons 查看NAT轉(zhuǎn)換表

銳捷外部源NAT轉(zhuǎn)換配置（轉(zhuǎn)換目的地址）

配置NAT外網(wǎng)源地址轉(zhuǎn)換,將外網(wǎng)服務(wù)器的公網(wǎng)地址轉(zhuǎn)換為內(nèi)網(wǎng)地址，使得內(nèi)網(wǎng)用戶在訪問(wèn)外網(wǎng)時(shí)，感知不到自己訪問(wèn)了外網(wǎng)

可以基于IP地址進(jìn)行一對(duì)一轉(zhuǎn)換，也可以基于TCP、UDP協(xié)議進(jìn)行端口一對(duì)一轉(zhuǎn)換

基于IP地址的一對(duì)一映射

ip nat outside source static 1.0.23.3 192.168.10.100

當(dāng)內(nèi)網(wǎng)訪問(wèn)192.168.10.100時(shí)，將目的IP轉(zhuǎn)為1.0.23.3

基于TCP UDP協(xié)議的端口映射

ip nat outside source static tcp 1.0.23.3 23 192.168.10.100 23

當(dāng)內(nèi)網(wǎng)訪問(wèn)192.168.10.100的23端口時(shí)，將目的IP轉(zhuǎn)為1.0.23.3的23端口

NAT做TCP負(fù)載均衡

NAT做TCL負(fù)載均衡的原理

將多個(gè)內(nèi)網(wǎng)的服務(wù)器地址（提供TCP類型服務(wù)）映射為一個(gè)公網(wǎng)IP地址對(duì)外提供服務(wù)

當(dāng)外部訪問(wèn)此公網(wǎng)IP地址的服務(wù)時(shí)，會(huì)將此流量轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的多個(gè)服務(wù)器上

配置注意事項(xiàng)

映射的公網(wǎng)IP地址只支持為外網(wǎng)出口的IP地址或者其它網(wǎng)段的IP地址，不能映射為于出接口相同網(wǎng)段的其它IP地址

如果映射為于出接口IP同網(wǎng)段的其它IP地址，會(huì)由于設(shè)備不對(duì)該IP地址的ARP請(qǐng)求進(jìn)行回應(yīng)而導(dǎo)致映射失效（設(shè)備會(huì)認(rèn)為這是一臺(tái)與本出口在同一網(wǎng)段的其它設(shè)備地址，而不是自身的地址，不會(huì)對(duì)該IP地址的ARP請(qǐng)求進(jìn)行回應(yīng)）

配置命令

配置對(duì)于哪些外網(wǎng)流量進(jìn)行TCP負(fù)載分擔(dān)（TCP負(fù)載均衡中只可以使用擴(kuò)展ACL）

ip access-list extended 100

10 permit ip any host 1.0.0.100

所有的外網(wǎng)訪問(wèn)1.0.0.100此地址時(shí)，將目標(biāo)地址轉(zhuǎn)為真正的內(nèi)網(wǎng)服務(wù)器地址進(jìn)行負(fù)載分擔(dān)

配置真正的內(nèi)網(wǎng)服務(wù)器地址（通過(guò)地址池的方式配置）

ip nat pool fuzai 192.168.1.1 192.168.1.2 netmask 255.255.255.0 type rptary

配置NAT轉(zhuǎn)換策略

ip ant inside destination list 100 pool fuzai