ACL和NAT实验演练

ACL和NAT实验演练

配置需求：
1.如图所示，配置设备名称和IP地址。
GW为模拟企业网关设备，ISP模拟运营商设备。
2.在GW上使用高级ACL，使得PC1不能访问PC2，满足以下需求：
1）ACL编号为3000
2）只有一条规则，且序号为5
3）仅仅拒绝PC1访问PC2的流量，其他任何流量不得拒绝。
4）在入方向上调用该ACL。
3.在GW上部署NAT和默认路由满足以下需求：
1）NAT使用基础ACL，编号为2000，且只有一条规则，序号为5，仅允许PC1所在的网络号。
2）PC1访问ISP时会使用GW的G0/0/0地址，并采用端口转换的形式。
3) 因PC2需要为外网用户提供服务，企业从ISP处购买了新的公网地址100.1.1.1/32
配置静态NAT，使得外网ISP访问100.1.1.1就可以访问到PC2。
（提示：ISP上没有100.1.1.1/32的路由，企业付费购买公网地址后，ISP需配置静态路由。）

GW路由器配置如下：

<GW>dis cu
#
sysname GW
#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
#
acl number 3000
rule 5 deny ip source 192.168.1.1 0 destination 192.168.2.1 0
#
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.252
nat static global 100.1.1.1 inside 192.168.2.1 netmask 255.255.255.255
nat outbound 2000
#
interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3000
#
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

ISP路由器配置如下：

<ISP>dis cu
#
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ip route-static 100.1.1.1 255.255.255.255 12.1.1.1

实验截图如下：

pc1到pc2的网关能通，但是不能与pc2通信。

pc1可以isp互通

pc1可以isp互通

需要在ping的时候马上查看现象

ISP设备ping 100.1.1.1 这个公网地址，GW设备查看NAT的情况。

可以看到通过100.1.1.1 /32 这个公网地址静态nat可以访问到192.168.2.1