本文講述了思科ACL、NAT配置命令。分享給大家供大家參考，具體如下：

ACL 訪問控制列表
 

ACL可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。被廣泛地應(yīng)用于路由器和三層交換機，借助于ACL，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，從而最大程度地保障網(wǎng)絡(luò)安全。

ACL功能：

1. 訪問控制—在路由器上流量進或出的接口上規(guī)則流量；
2. 定義感興趣流量 —為其他的策略匹配流量，抓取流量

訪問控制：定義ACL列表后，將列表調(diào)用于路由器的接口上，當流量通過接口時，進行匹配，匹配成功后按照設(shè)定好的動作進行處理即可，動作——允許、拒絕

匹配規(guī)則：至上而下逐一匹配，上條匹配按上條執(zhí)行，不再查看下條；末尾隱含拒絕所有；

ACL分類：

1. 標準ACL–僅關(guān)注數(shù)據(jù)包中的源ip地址
2. 擴展ACL–關(guān)注數(shù)據(jù)包中源、目標ip地址、目標端口號、協(xié)議號

配置ACL有兩種寫法：

• 編號寫法 1-99 標準 100-199 擴展 刪除一條整表消失
• 命名寫法 一個名字一張列表 可以隨意刪除某條，

配置：

標準ACL—編號：由于標準ACL僅關(guān)注數(shù)據(jù)包中的源ip地址，調(diào)用時盡量的靠近目標，避免誤刪；

編號寫法：
 

Router(config)#access-list 1 deny host 192.168.4.2 拒絕單一設(shè)備
Router(config)#access-list 1 deny 192.168.4.2 0.0.0.0 拒絕單一設(shè)備
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒絕范圍
Router(config)#access-list 1 deny any 拒絕所有

Router(config)#access-list 1 deny host 192.168.4.2 拒絕172.16.4.2
Router(config)#access-list 1 permit any 允許所有
Router(config)#interface fastEthernet 0/0.1 進接口
Router(config-subif)#ip access-group 1 out 調(diào)用

命名寫法：
 

Router(config)#ip access-list standard a 
Router(config-std-nacl)#deny host 192.168.4.2
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)# no ip access-list standard a 刪除表

擴展ACL配置：擴展ACL關(guān)注數(shù)據(jù)包中的源、目標ip地址，故調(diào)用時應(yīng)該盡量的靠近源，當然不能在源上，因為ACL不能限制本地產(chǎn)生的流量；

編號寫法：
 

r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2

前面是源ip地址，后面是目標ip地址，也就是拒絕192.168.4.0 0.0.0.255—192.168.1.0 0.0.0.255 這個范圍

r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip access-group 100 in

命名寫法
 

Router(config)#ip access-list extended a
Router(config-ext-nacl)#deny host 192.168.4.2
Router(config-ext nacl)#permit any
Router(config-ext -nacl)#exit
Router(config)#no ip access-list extended a 刪除表

關(guān)注目標端口號：

• ICMP——ping 跨層封裝協(xié)議，不存在端口號
• Telnet——遠程登錄 基于TCP目標23號端口

設(shè)備開啟遠程登錄配置命令：
 

r1(config)#username ccna privilege 15 secret 123456
r1(config)#line vty 0 4 0 4 代表最多五個賬戶登錄
r1(config-line)#login local

規(guī)則一個設(shè)備到另一個設(shè)備的目標端口

遠程登錄被拒絕
 

r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23
r1(config)#access-list 101 permit ip any any

r1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒絕ping
r1(config)#access-list 102 permit ip any any 單向ping 后加echo

NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換
 

配置了NAT的路由器至少有一個有效的外部全球IP地址，即公有IP地址，這樣，所有使用本地地址的主機在和外界通信時，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。實質(zhì)上就是公有ip和私有ip間互換，NAT解決IPv4地址不夠用的問題，拖累了IPv6的發(fā)展

具體的做法：在邊界路由器上，流量從內(nèi)部去往外部時，將數(shù)據(jù)包中的源ip地址進行修改（內(nèi)部本地修改為內(nèi)部全局）； 流量從外部進入內(nèi)部時，修改目標ip地址（外部全局修改為外部本地）

實現(xiàn)方式

NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad

Router#show ip nat translations 查看nat的命令

一對一：（靜態(tài)）

r2(config)#ip nat inside source static 192.168.1.2 12.1.1.2

前面ip是本地，后面是全局

一對多（動態(tài)） PAT ——端口地址轉(zhuǎn)換
 

將多個私有ip地址轉(zhuǎn)換為同一公有ip地址，依賴數(shù)據(jù)包中的端口號來進行區(qū)分；先使用ACL定義感興趣流量—哪些私有ip地址要被轉(zhuǎn)換

r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
r2(config)#access-list 1 permit any 用ACL抓取所有ip
r2(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload

list 1為本地
fastEthernet 1/0為全局
overload表示負載

多對多：（靜態(tài)或動態(tài)）

定義內(nèi)部本地地址范圍 (抓取內(nèi)網(wǎng)ip)
 

r2(config)#access-list 2 permit 192.168.0.0 0.0.255.255

定義內(nèi)部全局地址范圍 (抓取外網(wǎng)ip)
 

r2(config)#ip nat pool xxx 12.1.1.2 12.1.1.10 netmask 255.255.255.0

配置多對多NAT
 

r2(config)#ip nat inside source list 2 pool xxx overload

其中Netmask為網(wǎng)絡(luò)掩碼，在配置多對多NAT時，是否攜帶overload將決定為靜態(tài)或動態(tài)多對多；

• 不攜帶—靜態(tài)多對多，最先來的邊界路由器上的9個私有ip地址與這9個公有ip地址形成一對一
• 攜帶—動態(tài)多對多，循環(huán)占用每個公有ip地址進行PAT

端口映射
 

r2(config)#ip nat inside source static tcp 192.168.1.100 80 12.1.1.2 80

解釋：通過外部訪問12.1.1.2，同時目標端口為80時，目標ip地址就一定被轉(zhuǎn)換為192.168.1.100，端口號80；

r2(config)#ip nat inside source static tcp 192.168.1.200 80 12.1.1.2 8080

解釋：通過外部訪問12.1.1.2同時目標端口為8080時，目標ip地址就一定被轉(zhuǎn)換為192.168.1.200，端口號80；

最新評論