锐捷常用的ACL实验

描述

 

实验配置

ACL

绿色R1 蓝色R2 R3只需要配置相应的IP地址就可以,不用做其它操作

R1与R2配置OSPF

interface GigabitEthernet 0/0

no switchport

ip address 10.0.10.254 24

interface GigabitEthernet 0/1

no switchport

ip address 10.0.20.1 24

router ospf 100

router-id 1.1.1.1 配置Router-id

network 10.0.10.0 0.0.0.255 area 0 在区域0宣告10.0.10.0/24网段

network 10.0.20.0 0.0.0.255 area 0

interface GigabitEthernet 0/0

no switchport

ip address 10.0.20.2 24

ip ospf priority 255 配置OSPF接口优先级,选举DR

interface GigabitEthernet 0/1

no switchport

ip address 1.1.1.2 24

router ospf 100

router-id 2.2.2.2

network 10.0.20.0 0.0.0.255 area 0

default-information originate always 向OSPF区域下发缺省路由(无论自己是否配置了缺省静态)

在R2上配置NAT+ACL

配置ACL匹配流量

Ip access-list standard 111 配置标准ACL(只可以匹配源IP地址)

10 permit 192.168.10.0 0.0.0.255 匹配IP地址为192.168.10.0/24报文

20 deny any

配置NAT地址池——通过1.1.1.1这个地址做NAT

ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255

配置NAT内、外网口

interface GigabitEthernet 0/1

ip nat outside

interface GigabitEthernet 0/0

ip nat inside

配置源nat转换策略

ip nat inside source list 111 pool 出去 overload

内网口接收到的报文匹配到acl时做源NAT转换,转换为Pool的地址

Overload代表端口也会转换

ACL讲解

锐捷常用的ACL

常用的ACL主要有标准ACL和扩展ACL

标准ACL Standard

标准ACL的编号范围:1-99和1300-1999

标准ACL只匹配源ip地址

扩展ACL Extended

扩展ACL的编号范围:100-199和2000-2699。

扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号)

锐捷ACL匹配顺序

ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。

ACL最后隐含一条 deny any 的ACE条目,会拒绝所有流量。

若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。

锐捷NAT相关配置

Ip access-list extended/standard 编号 进入ACL视图配置策略

ip access-group 编号 in/out 接口下配置,在接口调用ACL

show access-lists 查看配置了ACL转换表项

NAT讲解

锐捷NAT的术语

Inside:内部

Outside:外部

Inside local:内部本地地址(内部主机的实际地址,一般为私有地址)

Inside global:内部全局地址(内部主机经NAT转换后去往外部的地址,是ISP分配的合法IP地址)

Outside local:外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,认为它是一个内部的主机而非外部主机)

Outside global:外部全局地址(外部主机的真实地址,互联网上的合法IP地址)

锐捷NAT地址池配置

第一种:ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255

第二种:ip nat pool 出去 netmask 255.255.255.255

address 1.1.1.1 1.1.1.1

锐捷源NAT策略配置(转换源地址)

出接口源NAT转换

ip nat inside source list [acl编号] interface [接口] overload

地址池源NAT转换

ip nat inside source list [acl编号] pool [地址池名称] overload

静态一对一源NAT转换

可以基于IP地址进行一对一转换

也可以基于TCP、UDP协议进行端口一对一转换

基于IP地址的一对一映射

ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside

把内网172.16.1.100 映射成公网的192.168.2.168

基于TCP UDP协议的端口映射

ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23

将内网地址172.16.1.100的23号端口服务映射为192.168.2.168的23号端口

若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。

show ip nat teanslatons 查看NAT转换表

锐捷外部源NAT转换配置(转换目的地址)

配置NAT外网源地址转换,将外网服务器的公网地址转换为内网地址,使得内网用户在访问外网时,感知不到自己访问了外网

可以基于IP地址进行一对一转换,也可以基于TCP、UDP协议进行端口一对一转换

ACL

基于IP地址的一对一映射

ip nat outside source static 1.0.23.3 192.168.10.100

当内网访问192.168.10.100时,将目的IP转为1.0.23.3

基于TCP UDP协议的端口映射

ip nat outside source static tcp 1.0.23.3 23 192.168.10.100 23

当内网访问192.168.10.100的23端口时,将目的IP转为1.0.23.3的23端口

NAT做TCP负载均衡

NAT做TCL负载均衡的原理

将多个内网的服务器地址(提供TCP类型服务)映射为一个公网IP地址对外提供服务

当外部访问此公网IP地址的服务时,会将此流量转发到内网的多个服务器上

ACL

配置注意事项

映射的公网IP地址只支持为外网出口的IP地址或者其它网段的IP地址,不能映射为于出接口相同网段的其它IP地址

如果映射为于出接口IP同网段的其它IP地址,会由于设备不对该IP地址的ARP请求进行回应而导致映射失效(设备会认为这是一台与本出口在同一网段的其它设备地址,而不是自身的地址,不会对该IP地址的ARP请求进行回应)

配置命令

配置对于哪些外网流量进行TCP负载分担(TCP负载均衡中只可以使用扩展ACL)

ip access-list extended 100

10 permit ip any host 1.0.0.100

所有的外网访问1.0.0.100此地址时,将目标地址转为真正的内网服务器地址进行负载分担

配置真正的内网服务器地址(通过地址池的方式配置)

ip nat pool fuzai 192.168.1.1 192.168.1.2 netmask 255.255.255.0 type rptary

配置NAT转换策略

ip ant inside destination list 100 pool fuzai

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分