转载至:https://blog.csdn.net/weixin_45308292/article/details/94132547
华为外网通信 acl ,nat
1. 如图所示外网已经实现通信
2. 公网路由器配ip就不说了
3. 首先先做pat转换使内网全部用户可出去公网
命令如下
首先进入公司网关 R2
ip route-static 0.0.0.0 0.0.0.0 202.2.12.2 :配置默认路由找公网
ospf (我这默认是1,前面内网是哪个就写哪个)
default-route-advertise :向ospf区域注入默认路由
nat address-group 1 202.2.12.100 202.2.12.100 :地址池可以是多个,这里只要一个是pat
acl 2000
rule 0 permit source 10.0.0.0 0.255.255.255
interface S 4/0/0
nat outbound 2000 address-group 1
发现ospf区域主机可以通信,而rip区域主机不能通信
查看ospf区域主机路由器,有默认路由
查看rip区域主机,没有默认路由
rip区域重分发
进入R3(ospf,rip交际路由器)
rip
default-route originate
rip区域主机已经可以通信
4. 配置静态转换实现内访外
进入 R2 ,外网口(必须是)
interface S 4/0/0
nat server global 202.2.12.66 inside 10.1.100.100
是(外网口)打成拼音了。。。
外网主机ping服务区转换后的公网地址
5. acl 禁止10.1.21.0和10.1.22.0网段和外网通信
进入R2
acl 3000( 基本为2000 —2999,高级3000—3999) rule 后面的号表示ACL规则的生效顺序。
rule 0 deny ip source 10.1.21.0 0.0.0.255 destination any
rule 1 deny ip source 10.1.22.0 0.0.0.255 destination any
interface G 0/0/0 (这里,放在内网口,只用做一条,因为要限制主机来自rip区域,rip区域,走R3路由器,连R2路由器G0/0/0 口,而且出去外网只要这一条路。
traffic-filter inbound acl 3000
验证
实验已完成。