![图片[1]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片104-1024x345.png)
1.基于路由器的ACL
1)基本访问控制列表,匹配源地址
#定义acl匹配规则
acl number 2000
rule 10 deny source 192.168.1.1 0
#在接口进方向过滤acl
interface GigabitEthernet0/0/1
traffic-filter inbound acl 2000
#Rule 规则 (规则ID, 默认从规则ID小位置开始匹配),数据一旦匹配规则,将不再继续向下匹配,将范围广泛匹配规则放置在下方(规则ID大),wildcard 通配符, 0.0.0.0 匹配主机。
![图片[2]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片105-1024x359.png)
#在接口出方向过滤acl
interface GigabitEthernet0/0/2
traffic-filter outbound acl 2000
2)扩展访问控制列表,匹配源地址、目标地址、源端口、目标端口、协议号
#拒绝PC1访问Server1
acl number 3000
rule 10 deny ip source 192.168.1.1 0 destination 192.168.2.101 0
rule 20 permit ip
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
#拒绝client1访问Server1的http服务
acl number 3000
rule 11 deny tcp source 192.168.1.2 0 destination 192.168.2.101 0 destination-port eq 80
rule 20 permit ip
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
#拒绝client1访问Server2的ftp服务
acl number 3000
rule 13 deny tcp source 192.168.1.2 0 destination 192.168.2.102 0 destination-port eq ftp-data ftp
rule 20 permit ip
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
#或 rule 13 deny tcp source 192.168.1.2 0 destination 192.168.2.102 0 destination-port range 20 21
2.基于路由器的NAT基础
#确保内部网络私有主机地址访问外部公有网络
#确保外部公有地址主机访问内部私有服务器
#私有地址:10.X.X.X|172.16.X.X-172.31.X.X|192.168.X.X
![图片[3]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片106.png)
1)交换机关闭stp或设置边缘端口
stp disable
stp edged-port default
2)R1配置默认路由
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 12.1.1.2
3)私有地址访问公网地址,必须进行网络地址转换,转换成公网地址
#从内部到外部-转换源地址
#从外部到内部-转换目的地址
3.基于路由器的NAT-静态1对1
#转换后的公有地址不能和路由器出接口地址冲突,必须与接口地址不同
1)在出路由器的出接口静态一对一地址绑定
interface GigabitEthernet0/0/1
nat static global 12.1.1.101 inside 192.168.1.1
nat static global 12.1.1.102 inside 192.168.1.2
nat static global 12.1.1.103 inside 192.168.1.3
2)查看静态地址绑定
display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 12.1.1.101/----
Inside IP/Port : 192.168.1.1/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Global IP/Port : 12.1.1.102/----
Inside IP/Port : 192.168.1.2/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Global IP/Port : 12.1.1.103/----
Inside IP/Port : 192.168.1.3/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
4.基于路由器的NAT-动态1对1
1)创建公有地址组
nat address-group 1 12.1.1.101 12.1.1.103
2)创建私有地址池
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
3)出接口路由器出接口绑定(不进行端口转换)
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 1 no-pat
4)PC机连通性测试服务器后查看NAT会话表
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 6017
NAT-Info
New SrcAddr : 12.1.1.101
New DestAddr : ----
New IcmpId : ----
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.3
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 6020
NAT-Info
New SrcAddr : 12.1.1.103
New DestAddr : ----
New IcmpId : ----
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 6018
NAT-Info
New SrcAddr : 12.1.1.102
New DestAddr : ----
New IcmpId : ----
Total : 3
5.基于路由器的NAT-PAT-1对多
1)创建地址组
nat address-group 2 12.1.1.101 12.1.1.101
2)创建私有地址池
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
3)出接口路由器出接口绑定(进行端口转换)
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 2
4)客户机连通性测试服务器,查看NAT会话表
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.3
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 7902
NAT-Info
New SrcAddr : 12.1.1.101
New DestAddr : ----
New IcmpId : 10242
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.4
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 1
NAT-Info
New SrcAddr : 12.1.1.101
New DestAddr : ----
New IcmpId : 10243
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 7899
NAT-Info
New SrcAddr : 12.1.1.101
New DestAddr : ----
New IcmpId : 10240
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 7901
NAT-Info
New SrcAddr : 12.1.1.101
New DestAddr : ----
New IcmpId : 10241
6.基于路由器的NAT-EasyIP
#利用路由本身接口地址进行转换
1)出路由器出接口配置EasyIP
interface GigabitEthernet0/0/1
nat outbound 2000
2)客户机连通性测试服务器,查看NAT会话表
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 9476
NAT-Info
New SrcAddr : 12.1.1.1
New DestAddr : ----
New IcmpId : 10241
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 9474
NAT-Info
New SrcAddr : 12.1.1.1
New DestAddr : ----
New IcmpId : 10240
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.4
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 1
NAT-Info
New SrcAddr : 12.1.1.1
New DestAddr : ----
New IcmpId : 10243
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.3
DestAddr Vpn : 80.1.1.1
Type Code IcmpId : 0 8 9478
NAT-Info
New SrcAddr : 12.1.1.1
New DestAddr : ----
New IcmpId : 10242
7.基于路由器的NAT-PAT多对多
1)创建公有地址组
nat address-group 1 12.1.1.101 12.1.1.103
2)创建私有地址池
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
3)出接口路由器出接口绑定(端口地址转换)
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 1
8.基于路由器的NAT-NAT-Server
![图片[4]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片107.png)
1)内部网络服务器地址转换外部地址
interface GigabitEthernet0/0/1
nat server global 12.1.1.201 inside 192.168.1.201
nat outbound 2000
2)外部客户机访问内部服务器(访问外部转换端口)
![图片[5]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片108-1024x707.png)
3)内部网络服务器地址转换外部地址(进行端口转换)
interface GigabitEthernet0/0/1
nat server protocol tcp global 12.1.1.201 8080 inside 192.168.1.201 80
nat outbound 2000
4)外部客户机访问内部服务器(访问外部转换端口-端口转换)
![图片[6]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片109-1024x711.png)
![图片[7]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片110-1024x724.png)
5)不同端口转换
interface GigabitEthernet0/0/1
nat server protocol tcp global 12.1.1.201 8080 inside 192.168.1.201 80
nat server protocol tcp global 12.1.1.201 8081 inside 192.168.1.202 80
nat outbound 2000
6)外部客户机访问内部服务器(访问外部转换端口-不同端口转换)
![图片[8]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片111-1024x700.png)
9.基于路由器的NAT-NAT黑洞
![图片[9]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片112.png)
1)R1创建外部地址组(与接口地址不同网段)
nat address-group 3 120.1.1.103 120.1.1.103
2)R1创建内部地址池
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
3)R1在出路由器出接口绑定(端口转换)
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 3
4)R2需要写到非直连网络的静态路由,以防止路由黑洞
ip route-static 120.1.1.103 255.255.255.255 GigabitEthernet 0/0/1 12.1.1.1
5)R1查看路由表(InLoopBack0:黑洞接口)
display ip routing-table
120.1.1.103/32 Unr 64 0 D 127.0.0.1 InLoopBack0
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容