大家好，又见面了，我是你们的朋友全栈君。

访问控制列表-NAT应用

1实验目的

掌握ACL在企业网络中的应用；掌握ACL的工作原理；掌握ACL的配置；掌握NAT的工作原理；掌握NAT的基本配置。

2实验内容

企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。ACL可以通过定义规则来允许或拒绝流量的通过。ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。最终实现主机A可以ping通Internet，而主机B不可以ping通Internet。

3实验原理

3.1 基本ACL

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性 能、防止网络攻击等等。

3.2 NAT

网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外 部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网 用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。

4实验步骤

4.1基本ACL

绘制本次实验基本ACL的拓扑图如图1所示。

图 1 基本ACL的拓扑图

图中已经对主机及路由器进行了IP地址的相关批注。根据拓扑图对主机及路由器进行相关配置。

4.2NAT

绘制本次实验NAT的拓扑图如图2所示

图 2 NAT的拓扑图

图中已经对主机及路由器进行了IP地址的相关批注。根据拓扑图对主机及路由器进行相关配置。

5实验代码

5.1基本ACL（包括VLAN间路由，单臂路由）

SW：

⑴ system-view //进入系统视图

⑵ vlan batch 2 3 //划分vlan

⑶ interface GigabitEthernet 0/0/3 //进入端口0/0/3

⑷ port link-type trunk //设置为trunk

⑸ port trunk allow-pass vlan 2 3 //设置允许vlan2和vlan3通过

⑹ quit //退出当前端口

⑺ interface GigabitEthernet 0/0/1 //进入端口0/0/1

⑻ port link-type access //设置为access

⑼ port default vlan 2 //设置为默认vlan2

⑽ quit //退出当前端口

⑾ ⑾interface GigabitEthernet 0/0/2 //进入端口0/0/2

⑿ port link-type access //设置为access

⒀ port default vlan 3 //设置为默认vlan3

⒁ quit //退出当前端口

RTA：

⑴system-view //进入系统视图

⑵interface GigabitEthernet 0/0/0.1 //进入0/0/1端口的子端口0/0/0.1

⑶dot1q termination vid 2 //处理vlan id为2的报文

⑷ip address 192.168.2.254 24 //设置IP地址网络号

⑸arp broadcast enable // ARP广播告知位置

⑹quit //退出系统视图

⑺interface GigabitEthernet 0/0/0.2 //进入0/0/1端口的子端口0/0/0.2

⑻dot1q termination vid 3 //处理vlan id为3的报文

⑼ip address 192.168.3.254 24 //设置IP地址网络号

⑽quit //退出系统视图

⑾arp broadcast enable // ARP广播告知位置

配置RTA ACL：

⑴system-view //进入系统视图

⑵acl 2000 //设置基本ACL

⑶rule deny source 192.168.2.0 0.0.0.255 //设置规则

⑷interface GigabitEthernet 0/0/1 //进入端口0/0/1

⑸traffic-filter outbound acl 2000 //将acl规则配置到该端口上

5.2NAT

RTA：

⑴system-view //进入系统视图

⑵interface GigabitEthernet 0/0/0 //进入0/0/1端口的子端口0/0/0

⑶ip address 192.168.1.254 24 //设置IP地址网络号

⑷quit //退出系统视图

⑸interface GigabitEthernet 0/0/0 //进入0/0/1端口的子端口0/0/0

⑹ip address 200.10.10.2 24 //设置IP地址网络号

⑺nat static global 202.10.10.1 inside 192.168.1.1 //设置NAT

⑻nat static global 202.10.10.2 inside 192.168.1.2 //设置NAT

⑼quit //退出系统视图

6实验结果

6.1基本ACL

查看VLAN列表，如图3所示。

图 3 VLAN列表

查看端口0/0/1下的acl 2000规则，如图4所示。

图 4 端口0/0/1下的acl 2000规则列表

主机A可以ping通服务器，如图5所示。

图 5 主机A ping通服务器

主机B不可以ping通服务器，如图6所示。

图 6 主机B无法ping通服务器

6.2NAT

路由器RTA的静态NAT表，如图7所示。

图 7 路由器RTA静态NAT表

7遇到的问题以及解决方案

配置ACL的时候没有想到如何让两个主机之间实现通信，后来通过查看以前实验的PPT发现可以使用单臂路由的方式实现两个主机的通信。在配置单臂路由的时候，刚开始一直无法ping通，后来经过仔细检查发现是忘记在最后添加“arp broadcast enable”。经过查询，我得知了这句话是开启广播，抑制子接口arp的功能。还有一些编程时的小错误，但是就是在解决问题的时候使我对这些代码的原理有了更加深刻的认识。

实验总结体会

通过五次的实验课程，我学习到了VLAN原理和配置，VLAN间路由，静态路由基础，动态路由协议和访问控制列表-NAT应用。在实验的过程中，将课堂上的理论知识与实践相结合，使得我对计算机网络底层有了更加清晰的认识。我学会了在实践中探索真知，当对某个问题有疑问时，实践就是最好的验证手段。例如，刚开始学习的时候，我一直对交换机和路由器的区别不甚了解，总感觉不是那么明白。但是在实验过程中，对交换机和路由器进行实际使用实际选择，潜移默化的我对它们的区别有了更加深刻的认识。在进行计算机网络实验时，我同样体会到细心的重要性，因为有很多bug本来是可以避免的，但是由于我们的粗心却浪费了我们大量的时间，特别是本人在写代码时总是粗心大意，以后要多多注意。同时，我也认识到团队合作的力量，因为有些工作是我们独自无法完成的，很可能陷入死胡同出不来。如果遇到在经过自己很长时间的思考后仍旧无法解决的问题，去问问周围的同学或者老师，探讨一下，往往可以达到事半功倍的效果。