第3章 防火墙NAT-3.1 路由器ACL与NAT

图片[1]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网

1.基于路由器的ACL

1)基本访问控制列表,匹配源地址
#定义acl匹配规则
acl number 2000  
 rule 10 deny source 192.168.1.1 0 
#在接口进方向过滤acl
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 2000

#Rule 规则 (规则ID, 默认从规则ID小位置开始匹配),数据一旦匹配规则,将不再继续向下匹配,将范围广泛匹配规则放置在下方(规则ID大),wildcard 通配符, 0.0.0.0 匹配主机。
图片[2]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
#在接口出方向过滤acl
interface GigabitEthernet0/0/2
  traffic-filter outbound acl 2000

2)扩展访问控制列表,匹配源地址、目标地址、源端口、目标端口、协议号
#拒绝PC1访问Server1
acl number 3000  
 rule 10 deny ip source 192.168.1.1 0 destination 192.168.2.101 0 
 rule 20 permit ip 
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000
#拒绝client1访问Server1的http服务
acl number 3000  
 rule 11 deny tcp source 192.168.1.2 0 destination 192.168.2.101 0 destination-port eq 80 
 rule 20 permit ip 
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

#拒绝client1访问Server2的ftp服务
acl number 3000  
 rule 13 deny tcp source 192.168.1.2 0 destination 192.168.2.102 0 destination-port eq ftp-data ftp
 rule 20 permit ip 
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

#或 rule 13 deny tcp source 192.168.1.2 0 destination 192.168.2.102 0 destination-port range 20 21 

2.基于路由器的NAT基础

#确保内部网络私有主机地址访问外部公有网络
#确保外部公有地址主机访问内部私有服务器
#私有地址:10.X.X.X|172.16.X.X-172.31.X.X|192.168.X.X
图片[3]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
1)交换机关闭stp或设置边缘端口
stp disable 
stp edged-port default

2)R1配置默认路由
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 12.1.1.2

3)私有地址访问公网地址,必须进行网络地址转换,转换成公网地址
#从内部到外部-转换源地址
#从外部到内部-转换目的地址

3.基于路由器的NAT-静态1对1

#转换后的公有地址不能和路由器出接口地址冲突,必须与接口地址不同
1)在出路由器的出接口静态一对一地址绑定
interface GigabitEthernet0/0/1
 nat static global 12.1.1.101 inside 192.168.1.1 
 nat static global 12.1.1.102 inside 192.168.1.2 
 nat static global 12.1.1.103 inside 192.168.1.3 

2)查看静态地址绑定
display nat static 
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 12.1.1.101/---- 
    Inside IP/Port     : 192.168.1.1/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----

    Global IP/Port     : 12.1.1.102/---- 
    Inside IP/Port     : 192.168.1.2/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
    Description : ----

    Global IP/Port     : 12.1.1.103/---- 
    Inside IP/Port     : 192.168.1.3/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255 
Description : ----        

4.基于路由器的NAT-动态1对1

1)创建公有地址组
nat address-group 1 12.1.1.101 12.1.1.103

2)创建私有地址池
acl number 2000  
 rule 10 permit source 192.168.1.0 0.0.0.255

3)出接口路由器出接口绑定(不进行端口转换)
interface GigabitEthernet0/0/1
 nat outbound 2000 address-group 1 no-pat

4)PC机连通性测试服务器后查看NAT会话表
display nat session all
  NAT Session Table Information:
     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.1                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   6017 
     NAT-Info
       New SrcAddr     : 12.1.1.101     
       New DestAddr    : ----
       New IcmpId      : ----

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.3                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   6020 
     NAT-Info
       New SrcAddr     : 12.1.1.103     
       New DestAddr    : ----
       New IcmpId      : ----

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.2                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   6018 
     NAT-Info                             
       New SrcAddr     : 12.1.1.102       
       New DestAddr    : ----             
       New IcmpId      : ----             
                                          
  Total : 3  

5.基于路由器的NAT-PAT-1对多

1)创建地址组
nat address-group 2 12.1.1.101 12.1.1.101

2)创建私有地址池
acl number 2000  
 rule 10 permit source 192.168.1.0 0.0.0.255

3)出接口路由器出接口绑定(进行端口转换)
interface GigabitEthernet0/0/1
  nat outbound 2000 address-group 2

4)客户机连通性测试服务器,查看NAT会话表
display nat session all
  NAT Session Table Information:

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.3                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   7902 
     NAT-Info
       New SrcAddr     : 12.1.1.101     
       New DestAddr    : ----
       New IcmpId      : 10242

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.4                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   1    
     NAT-Info
       New SrcAddr     : 12.1.1.101     
       New DestAddr    : ----
       New IcmpId      : 10243

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.1                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   7899 
     NAT-Info                             
       New SrcAddr     : 12.1.1.101       
       New DestAddr    : ----             
       New IcmpId      : 10240            
                                          
     Protocol          : ICMP(1)          
     SrcAddr   Vpn     : 192.168.1.2                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   7901     
     NAT-Info                             
       New SrcAddr     : 12.1.1.101       
       New DestAddr    : ----             
       New IcmpId      : 10241 

6.基于路由器的NAT-EasyIP

#利用路由本身接口地址进行转换
1)出路由器出接口配置EasyIP
interface GigabitEthernet0/0/1
 nat outbound 2000

2)客户机连通性测试服务器,查看NAT会话表
display nat session all
  NAT Session Table Information:
     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.2                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   9476 
     NAT-Info
       New SrcAddr     : 12.1.1.1       
       New DestAddr    : ----
       New IcmpId      : 10241

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.1                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   9474 
     NAT-Info
       New SrcAddr     : 12.1.1.1       
       New DestAddr    : ----
       New IcmpId      : 10240

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.4                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   1    
     NAT-Info                             
       New SrcAddr     : 12.1.1.1         
       New DestAddr    : ----             
       New IcmpId      : 10243            
                                          
     Protocol          : ICMP(1)          
     SrcAddr   Vpn     : 192.168.1.3                                    
     DestAddr  Vpn     : 80.1.1.1                                       
     Type Code IcmpId  : 0   8   9478     
     NAT-Info                             
       New SrcAddr     : 12.1.1.1         
       New DestAddr    : ----             
       New IcmpId      : 10242  

7.基于路由器的NAT-PAT多对多

1)创建公有地址组
nat address-group 1 12.1.1.101 12.1.1.103

2)创建私有地址池
acl number 2000  
 rule 10 permit source 192.168.1.0 0.0.0.255

3)出接口路由器出接口绑定(端口地址转换)
interface GigabitEthernet0/0/1
 nat outbound 2000 address-group 1 

8.基于路由器的NAT-NAT-Server

图片[4]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
1)内部网络服务器地址转换外部地址
interface GigabitEthernet0/0/1
 nat server global 12.1.1.201 inside 192.168.1.201
 nat outbound 2000

2)外部客户机访问内部服务器(访问外部转换端口)
图片[5]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
3)内部网络服务器地址转换外部地址(进行端口转换)
interface GigabitEthernet0/0/1
 nat server protocol tcp global 12.1.1.201 8080 inside 192.168.1.201 80
 nat outbound 2000


4)外部客户机访问内部服务器(访问外部转换端口-端口转换)
图片[6]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
图片[7]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
5)不同端口转换
interface GigabitEthernet0/0/1
 nat server protocol tcp global 12.1.1.201 8080 inside 192.168.1.201 80
 nat server protocol tcp global 12.1.1.201 8081 inside 192.168.1.202 80
 nat outbound 2000

6)外部客户机访问内部服务器(访问外部转换端口-不同端口转换)
图片[8]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网

9.基于路由器的NAT-NAT黑洞

图片[9]-第3章 防火墙NAT-3.1 路由器ACL与NAT-大赛人网
1)R1创建外部地址组(与接口地址不同网段)
nat address-group 3 120.1.1.103 120.1.1.103

2)R1创建内部地址池
acl number 2000  
 rule 10 permit source 192.168.1.0 0.0.0.255 

3)R1在出路由器出接口绑定(端口转换)
interface GigabitEthernet0/0/1
 nat outbound 2000 address-group 3 

4)R2需要写到非直连网络的静态路由,以防止路由黑洞
ip route-static 120.1.1.103 255.255.255.255 GigabitEthernet 0/0/1 12.1.1.1

5)R1查看路由表(InLoopBack0:黑洞接口)
display ip routing-table
  120.1.1.103/32  Unr     64   0           D   127.0.0.1       InLoopBack0
© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容