其中,ACL分为基本ACL、高级ACL和二层ACL。一个ACL中可以包括多个RULE,RULE规定了过滤规则,我们这里只使用基本ACL。
基本ACL编号由2000开始到2999结束。Rule编号由0开始,默认规则步长为5,这个不用太关心,一般每个规则的代号我们都会手动指定。
举个栗子。
acl basic 2000
rule 0 permit source 192.168.1.0 0.0.0.255
第一个指令进入编号为2000的基本ACL视图。
第二个指令在ACL 2000里面建立了一个规则,编号为0,规则为允许源IP地址为192.168.1.0 ~ 192.168.1.255的IP地址通过。后面的0.0.0.255是通配符。
ACL在应用到安全域间的规则上才有作用。继续举例。
zone-pair security source trust destination untrust
packet-filter 2000
第一个指令进入了源安全域trust到目的安全域untrust这个视图
第二个指令将ACL 2000应用到这个这个视图上,既将ACL2000中的规则应用到了源安全域trust到目的安全域untrsut这个方向上。
此时所有由trust端口发起到untrust端口的连接都将进过acl 2000中的rule进行检查之后并通过之后才能转发出去。
NAT全称Network Address Translation,网络地址转换。最常见的应用就是在家用的路由器上。
H3C防火墙也提供了这个功能。h3c手册上的第九第五节详细介绍了原理,就不赘述了。只说如何使用。
以我的网络结构举例。
防火墙trust接口为GE1/0/9。此端口ip地址为10.0.0.1/8。
防火墙untrust接口为GE1/0/10。此端口ip地址为192.168.1.50/24。
untrust接口接在公司可以上网的交换机上。此交换机上有很多计算机,其中某一台计算机ip地址为192.168.1.5/24。
trust接口接在一个pc上。pc的ip地址为10.0.0.100/8。
目的是通过使用pc能ping通公司内网的pc。
首先配置端口的IP地址。
配置GE1/0/9这个是接PC的。
interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
配置GE1/0/10这个是接交换机的。
interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
将GE1/0/9添加到trust安全域中
security-zone name trust
import interface gigabitethernet 1/0/9
将GE1/0/10添加到untrust安全域中
security-zone name untrust
import interface gigabitethernet 1/0/10
配置一个基本ACL
acl basic 2050
添加一条规则,允许10.0.0.0这个网段的IP地址通过。
rule 0 permit source 10.0.0.0 0.255.255.255
在安全域trust到安全域untrust这个路径上应用acl 2050
zone-pair security source trust destination untrust
packet-filter 2050
生成一个nat地址池
nat address-group 0
添加两个IP地址用于地址转换
address 192.168.1.51 192.168.1.52
在出接口GE1/0/10上应用acl 2050和nat地址池
interface gigabitethernet 1/0/10
nat outbound 2050 address-group0
此时NAT已经配置完成,可以用了。
参考命令:
interface gigabitethernet 1/0/9
ip address 10.0.0.1 255.0.0.0
quit
interface gigabitethernet 1/0/10
ip address 192.168.1.50 255.255.255.0
quit
security-zone name trust
import interface gigabitethernet 1/0/9
quit
security-zone name untrust
import interface gigabitethernet 1/0/10
quit
acl basic 2050
rule 0 permit source 10.0.0.0 0.255.255.255
quit
zone-pair security source trust destination untrust
packet-filter 2050
quit
nat address-group 0
address 192.168.1.51 192.168.1.52
quit
interface gigabitethernet 1/0/10
nat outbound 2050 address-group0
quit