当前位置: 首页 > 路由交换 > NAT > NA简介
cjhcjh NA简介   此文章访问量   587

疑问:是先做NAT还是ACL? ACL不生效?ensp实验、流策略(实验结果:先做NAT再匹配流策略)((先nat还是先acl))

疑问:是先做NAT还是ACL?  ACL不生效?ensp实验、流策略(实验结果:先做NAT再匹配流策略)

R1_2022.12.02.10时31分54秒.txt

图片.png

需求:禁止pc1访问192.168.2.80

(1) 基础配置

PC1:

图片.png

PC2:

图片.png

R1路由器的配置:

acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 192.168.2.254 255.255.255.0
 nat outbound 2000
#

(2) PC1可以ping通PC2

图片.png

pc1 ping 192.168.2.80

图片.png

(3) 配置流策略

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.80 0
 rule 10 deny ip
#
配置基于用户自定义ACL的流分类
# 配置流分类tc1,对匹配ACL 5000的报文进行分类。
traffic classifier tc1 operator or
 if-match acl 3000
#
配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
traffic behavior tb1

  deny

#
配置流策略
# 定义流策略,将流分类与流行为关联。
traffic policy tp1                        
 classifier tc1 behavior tb1
              
在接口下应用流策略
interface GigabitEthernet0/0/2
 ip address 192.168.2.254 255.255.255.0
 traffic-policy tp1 outbound  # 在接口GE0/0/2的出方向应用流策略
 nat outbound 2000
#

(4)结果(pc1是ping不通192.168.2.80了,但是也ping不通192.168.2.200)

图片.png

图片.png

图片.png

修改acl 3000:增加rule 8 上去

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.80 0
 rule 8 permit ip source 192.168.2.254 0 destination 192.168.2.80 0
 rule 10 deny ip

不通的原因是因为经过源NAT后,源地址变为了192.168.2.254,然后路由器用192.168.2.254去匹配流策略,但流策略的ACL并没有允许192.168.2.254。

图片.png

能过dis acl all发现,ping不通192.168.2.80 是因为rule 8 , ping不通192.168.2.200 是因为rule 10

图片.png

原因:流策略中,只要明显配置拒绝,结果就是拒绝(ACL rule 缺省隐含最后一条规是deny)

图片.png

图片.png

不作拦截的流量就不要去配置了,因为动作是策略的动作是deny。

华为 ACL rule 缺省隐含最后一条规是deny。
http://www.zh-cjh.com/luyoujiaohuan/3543.html


解决:

[R1]acl number 3000
[R1-acl-adv-3000]undo rule 10

(5) 结果(pc1 ping 192.168.2.80不通,ping192.168.2.200通)

图片.png

测试:

图片.png


此次实验中,R1使用的版本:

<R1>display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.130 (AR3200 V200R003C00)
Copyright (C) 2011-2012 HUAWEI TECH CO., LTD
Huawei AR3260 Router uptime is 0 week, 0 day, 9 hours, 41 minutes
BKP 0 version information:
1. PCB      Version  : AR01BAK3A VER.NC
2. If Supporting PoE : No
3. Board    Type     : AR3260
4. MPU Slot Quantity : 2
5. LPU Slot Quantity : 10
MPU 15(Master) : uptime is 0 week, 0 day, 9 hours, 41 minutes
MPU version information :
1. PCB      Version  : AR01SRU3A VER.A
2. MAB      Version  : 0
3. Board    Type     : SRU80
4. BootROM  Version  : 0
FAN version information :
1. PCB      Version  : AR01DF05A VER.A
2. Board    Type     : FAN
3. Software Version  : 0
<R1>



配置NAT Server时,安全策略中指定的目的地址是转换前的还是转换后的地址?答:转换后的地址

http://www.zh-cjh.com/luyoujiaohuan/3664.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 疑问:是先做NAT还是ACL? ACL不生效?ensp实验、流策略(实验结果:先做NAT再匹配流策略)((先nat还是先acl))

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!