当两个都使用 NAT 时,限制 Cisco 路由器上的子网看到另一个子网的程序是什么?

网络工程 路由器 纳特 联网 acl
2022-02-06 14:02:18

我有一个 Cisco 891F 路由器。互联网连接到 G8。学生网络是Vlan 200,办公室是Vlan 100。

(我知道互联网有一个内部子网(192.168.1.5),但那是因为我正在实验室进行测试。)

所以情况是我在 G8 上有互联网,在 vlan 200 上有一个教室,在 vlan 100 上有办公室工作人员。我正在为每个内部网络使用 NAT,实际上是 PAT,并且所有的互联网访问都运行良好两个内部网络。

但是,我需要添加一个 ACL,以便 192.168.200.0/24 学生网络(vlan 200)在 192.168.151.0/24 办公网络(vlan 100)中看不到任何内容。

我无法通过“拒绝”以及具有上述有限访问权限的 NAT 找到或解决任何问题。

这是界面和acl配置:(感谢任何帮助)-T

interface GigabitEthernet0
 switchport access vlan 100
 no ip address
!
interface GigabitEthernet1
 switchport access vlan 200
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description To Internet
 ip address 192.168.1.5 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
!
interface Vlan100
 description Office Network
 ip address 192.168.151.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan200
 description Student Network
 ip address 192.168.200.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address
 encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 10 interface GigabitEthernet8 overload
ip nat inside source list 20 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
access-list 10 permit 192.168.151.0 0.0.0.255
access-list 20 permit 192.168.200.0 0.0.0.255
!
1个回答

首先,您不要在私有子网之间使用 NAT。您仅在需要时才使用 NAT,尤其是在私有子网和公共子网之间。

如果您确实使用(源)NAT,则无法在目标子网中进行过滤,因为您看到的只是 NATed 路由器的 IP 地址。

基本 ACL 的语法是

permit|deny <sourcesubnet> <sourcewildcard> <destinationsubnet> <destinationwildcard>

请记住,deny any any每个 ACL 的末尾总是有一个隐含的。如果您不希望它捕获您未明确定义的所有内容,请permit any any在最后使用 a 。

我需要添加一个 ACL,以便 192.168.200.0/24 网络(vlan 200)在 192.168.151.0/24(vlan 100)中看不到任何内容。

如果允许其他一切,那就是

1000 deny 192.168.200.0 0.0.0.255 192.168.151.0 0.0.0.255
9999 permit any any

根据路由器的功能,将其作为规则放在 VLAN 200 的入口端口或 VLAN 200 本身上。

目前,

access-list 10 permit 192.168.151.0 0.0.0.255
access-list 20 permit 192.168.200.0 0.0.0.255

您允许这两个子网访问任何地方(这是我不太具体的permit any any做法,但适用于任何源子网)。这绝对没问题,但是要进行所需的过滤,您需要在允许一切之前(即最大行号 19)拒绝子网 192.168.200.0/24 对 192.168.151.0/24 的访问 - 请记住 ACL 规则适用于首创基地,从上到下。

其它你可能感兴趣的问题
上一篇为什么 IPsec 不支持多播/广播? 下一篇NAT 在 cisco 数据包跟踪器中不起作用