使用EVE-NE-锐捷实现NAT+ACL服务限制

一、项目拓扑

二、项目实现

1.NET配置

点击左侧的NetWorks,设置与图相同的配置，实现实验环境桥接到物理网络

2.GW配置

进入特权模式
enable

进入全局模式
configure terminal 

更改名称为GW
hostname GW

进入g0/0接口
interface g0/0


将g0/0接口IP地址配置为192.168.1.2/24
ip address 192.168.1.2 255.255.255.0


退出到上一级
exit

进入g0/1接口
interface g0/1

将g0/1接口IP地址配置为10.1.1.1/8
ip address 10.1.1.1 255.0.0.0

退出到上一级
exit

设置默认路由               下一跳地址
ip route 0.0.0.0 0.0.0.0 192.168.1.1

进入g0/0外网接口
interface g0/0

将g0/0接口标识为nat的出接口(ip nat outside(常用于连接外部的运营商接口)
ip nat outside


退出到上一级
exit

进入g0/1内网接口
interface g0/1

将g0/1接口标识为nat的入接口(ip nat inside(常用于连接内部的局域网接口)
ip nat inside

退出到上一级
exit

创建标准ACL1，允许10.1.1.0网段的数据通过
access-list 1 permit 10.1.1.0 0.0.0.255

创建NAT映射
将ACL1匹配的条目映射到interface g0/0接口上，使用端口复用
ip nat inside source list 1 interface g0/0 overload

创建扩展ACL100
允许源地址10.1.1.10通过tcp协议下的的http协议与任意目的地址通信
access-list 100 permit tcp host 10.1.1.10 any eq 80

允许源地址10.1.1.10通过tcp协议下的的https协议与任意目的地址通信
access-list 100 permit tcp host 10.1.1.10 any eq 443

允许源地址10.1.1.10通过udp协议下的的DNS协议与任意目的地址通信
access-list 100 permit udp host 10.1.1.10 any eq 53 

进入g0/1接口
interface g0/1

将ACL100应用到g0/1接口的入方向
ip access-group 100 in

退出到上一级
exit  

退出到上一级
exit

显示正在运行的配置信息
show run  

3.PC配置

4.ACL配置思路

• 根据ACL默认阻止数据的特性，ACL在配置时只需要写允许条目，没有允许的条目服务默认会禁止访问，需要PC正常访问网页需要开启①HTTP服务②HTTPS法务③DNS服务，只有三项都允许了PC才可以正常访问网页。
• HTTP--------端口:80--------基于TCP
• HTTPS------端口:443------基于TCP
• DNS---------端口:53---------基于UDP

三、项目效果

1.限制前

既可以ping(基于ICMP)百度，也可以访问百度网页(TCP+UDP)

2.限制后 

 不可以ping(基于ICMP)百度，只可以访问百度网页(TCP+UDP)