高级ACL，配置静态NAT，Easy IP，三层交换配置VRRP

高级ACL

步骤一：根据协议所用端口进行封堵

基本acl 2000~2999 源地址

高级acl 3000~3999 源地址、目标地址、协议、端口

1. 路由器ip配置：（如果延用之前的图那么此步骤可以跳过）
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1 //进1口
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
6. [Huawei-GigabitEthernet0/0/1]quit
7. [Huawei]acl 3000 //创建(进入)acl3000
8. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的tcp的80端口
9. [Huawei-acl-adv-3000]in g0/0/1 //进入距离2.2比较近的接口
10. [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //删除原有acl
11. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //重新在
12. 接口应用acl3000

禁止2.1访问1.1的ftp服务，但不影响其他服务

1. [Huawei]acl 3000 //创建(进入)acl3000
2. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination
3. 192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的tcp的21端口

配置静态NAT

在路由器上配置静态NAT使192.168.2.1与192.168.2.2实现外网访问

1. 路由器ip配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 100.0.0.1 8 //配置ip
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1 //进1口
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
6. [Huawei-GigabitEthernet0/0/1]quit
7. pc1的ip是 192.168.2.1 网关是192.168.2.254
8. pc2的ip是 192.168.2.2 网关是192.168.2.254
9. pc3的ip是 100.0.0.10 网关不需要配

然后在路由器配置静态nat

使用nat前要进入外网接口

1. [Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.2 inside 192.168.2.1 //使用静态nat技术，将内部的2.1与外部的公网地址100.0.0.2进行相互转换

然后测试使用192.168.2.1 ping 100.0.0.10可以互通说明地址转换成功

1. 如果配置错误可以用undo删除，比如：
2. undo nat static global 100.0.0.2 inside 192.168.2.4
3. [Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.3 inside 192.168.2.2 //可以通过上述方案让2.2也实现外网的访问，利用的公网地址是100.0.0.3

Easy IP

继续使用上图，在路由器配置easy ip，让所有的内部主机仅仅利用唯一的一个公网地址100.0.0.1访问外网

实现此案例需要按照如下步骤进行

步骤一：删除已有的静态nat

1. [Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.3 inside 192.168.2.2
2. [Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.2 inside 192.168.2.1

步骤二：

1. [Huawei]acl 2000 //通过acl定义允许访问外网的设备
2. [Huawei-acl-basic-2000]rule permit source any //这里放行所有设备，如果将any换成192.168.2.0 0.0.0.255则是仅仅允许2.0网段的设备访问外网
3. [Huawei-acl-basic-2000]in g0/0/0 //进入0接口(外网接口)
4. [Huawei-GigabitEthernet0/0/0]nat outbound 2000 //应用nat (easy ip方式)

三层交换配置VRRP

在三层交换机配置VRRP产生一个虚拟网关192.168.1.254为vlan1的设备使用，实验拓扑如图-3所示

本实验暂不考虑NAT问题

步骤一：pc配置ip

pc1的ip是 192.168.4.1 网关是192.168.4.254

pc2的ip是 192.168.1.1 网关是192.168.1.254

第一台三层交换机配置

1. [Huawei]sysname sw1 //修改主机名为sw1
2. [sw1]undo info-center enable //关闭日志
3. [sw1]in vlan 1 //进入vlan1
4. [sw1-Vlanif1]ip add 192.168.1.252 24 //配置ip
5. [sw1]vlan 2 //创建vlan2
6. [sw1-vlan2]in vlan 2 //进入vlan虚拟接口
7. [sw1-Vlanif2]ip add 192.168.2.2 24 //配ip
8. [sw1-Vlanif2]in g0/0/2 //进入要配ip的接口
9. [sw1-GigabitEthernet0/0/2]port link-type access
10. [sw1-GigabitEthernet0/0/2]port default vlan 2
11. 另外一台s5700
12. <Huawei>sys
13. [Huawei]sysname sw2
14. [sw2]undo info-center enable
15. [sw2]in vlan 1
16. [sw2-Vlanif1]ip add 192.168.1.253 24
17. [sw2]vlan 3 //创建vlan3
18. [sw2-vlan3]in vlan 3 //进入vlan虚拟接口
19. [sw2-Vlanif3]ip add 192.168.3.2 24 //配ip
20. [sw2-Vlanif3]in g0/0/2 //进入要配ip的接口
21. [sw2-GigabitEthernet0/0/2]port link-type access
22. [sw2-GigabitEthernet0/0/2]port default vlan 3

路由器配置ip

1. <Huawei>system-view
2. [Huawei]interface GigabitEthernet 0/0/0
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.2.1 24
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
6. [Huawei-GigabitEthernet0/0/1]in g0/0/2
7. [Huawei-GigabitEthernet0/0/2]ip address 192.168.4.254 24

分别在路由器与三层交换机上配置ospf

1. [Huawei]ospf //在路由器配置ospf
2. [Huawei-ospf-1]area 0
3. [Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
4. [Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
5. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
6. [sw1]ospf //在sw1配置ospf
7. [sw1-ospf-1]area 0
8. [sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
9. [sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
10. [sw2]ospf //在sw2配置ospf
11. [sw2-ospf-1]area 0
12. [sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
13. [sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

在两台三层交换机配置vrrp

1. [sw1]in vlan 1 //vrrp需要在接口中配置，进入vlan接口
2. [sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //开启vrrp功能，组号是1，虚拟设备的ip是1.254
3. [sw2]in vlan 1 //另外这台设备配置一样的内容
4. [sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
5. [sw2-Vlanif1]display this //查看当前视图配置
6. <sw1>display vrrp brief //分别在两台三层交换机查看vrrp状态，看到一台是Master一台是backup即可

VRRP组成员角色:

主（Master）路由器

备份（Backup）路由器

虚拟（Virtual）路由器

1. 如果打算将某个设备定义为主：
2. in vlan 1
3. vrrp vrid 1 priority 105 //修改vrrp优先级，默认值是100，越高越优先成为主