思科CCNA認證學習筆記(十五)思科ACL、NAT配置命令總結(jié)

本文講述了思科ACL、NAT配置命令。分享給大家供大家參考,具體如下:
ACL 訪問控制列表
ACL可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾,允許其通過或丟棄。被廣泛地應(yīng)用于路由器和三層交換機,借助于ACL,可以有效地控制用戶對網(wǎng)絡(luò)的訪問,從而最大程度地保障網(wǎng)絡(luò)安全。
ACL功能:
- 訪問控制—在路由器上流量進或出的接口上規(guī)則流量;
- 定義感興趣流量 —為其他的策略匹配流量,抓取流量
訪問控制:定義ACL列表后,將列表調(diào)用于路由器的接口上,當流量通過接口時,進行匹配,匹配成功后按照設(shè)定好的動作進行處理即可,動作——允許、拒絕
匹配規(guī)則:至上而下逐一匹配,上條匹配按上條執(zhí)行,不再查看下條;末尾隱含拒絕所有;
ACL分類:
- 標準ACL–僅關(guān)注數(shù)據(jù)包中的源ip地址
- 擴展ACL–關(guān)注數(shù)據(jù)包中源、目標ip地址、目標端口號、協(xié)議號
配置ACL有兩種寫法:
- 編號寫法 1-99 標準 100-199 擴展 刪除一條整表消失
- 命名寫法 一個名字一張列表 可以隨意刪除某條,
配置:
標準ACL—編號:由于標準ACL僅關(guān)注數(shù)據(jù)包中的源ip地址,調(diào)用時盡量的靠近目標,避免誤刪;
編號寫法:
Router(config)#access-list 1 deny host 192.168.4.2 拒絕單一設(shè)備 Router(config)#access-list 1 deny 192.168.4.2 0.0.0.0 拒絕單一設(shè)備 Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒絕范圍 Router(config)#access-list 1 deny any 拒絕所有 Router(config)#access-list 1 deny host 192.168.4.2 拒絕172.16.4.2 Router(config)#access-list 1 permit any 允許所有 Router(config)#interface fastEthernet 0/0.1 進接口 Router(config-subif)#ip access-group 1 out 調(diào)用
命名寫法:
Router(config)#ip access-list standard a Router(config-std-nacl)#deny host 192.168.4.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)# no ip access-list standard a 刪除表
擴展ACL配置:擴展ACL關(guān)注數(shù)據(jù)包中的源、目標ip地址,故調(diào)用時應(yīng)該盡量的靠近源,當然不能在源上,因為ACL不能限制本地產(chǎn)生的流量;
編號寫法:
r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
前面是源ip地址,后面是目標ip地址,也就是拒絕192.168.4.0 0.0.0.255—192.168.1.0 0.0.0.255 這個范圍
r1(config)#access-list 100 permit ip any any r1(config)#interface fastEthernet 0/0 r1(config-if)#ip access-group 100 in
命名寫法
Router(config)#ip access-list extended a Router(config-ext-nacl)#deny host 192.168.4.2 Router(config-ext nacl)#permit any Router(config-ext -nacl)#exit Router(config)#no ip access-list extended a 刪除表
關(guān)注目標端口號:
- ICMP——ping 跨層封裝協(xié)議,不存在端口號
- Telnet——遠程登錄 基于TCP目標23號端口
設(shè)備開啟遠程登錄配置命令:
r1(config)#username ccna privilege 15 secret 123456 r1(config)#line vty 0 4 0 4 代表最多五個賬戶登錄 r1(config-line)#login local
規(guī)則一個設(shè)備到另一個設(shè)備的目標端口
遠程登錄被拒絕
r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23 r1(config)#access-list 101 permit ip any any r1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒絕ping r1(config)#access-list 102 permit ip any any 單向ping 后加echo
NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換
配置了NAT的路由器至少有一個有效的外部全球IP地址,即公有IP地址,這樣,所有使用本地地址的主機在和外界通信時,都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址,才能和因特網(wǎng)連接。實質(zhì)上就是公有ip和私有ip間互換,NAT解決IPv4地址不夠用的問題,拖累了IPv6的發(fā)展
具體的做法:在邊界路由器上,流量從內(nèi)部去往外部時,將數(shù)據(jù)包中的源ip地址進行修改(內(nèi)部本地修改為內(nèi)部全局); 流量從外部進入內(nèi)部時,修改目標ip地址(外部全局修改為外部本地)
實現(xiàn)方式
NAT的實現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad
Router#show ip nat translations 查看nat的命令
一對一:(靜態(tài))
r2(config)#ip nat inside source static 192.168.1.2 12.1.1.2
前面ip是本地,后面是全局
一對多(動態(tài)) PAT ——端口地址轉(zhuǎn)換
將多個私有ip地址轉(zhuǎn)換為同一公有ip地址,依賴數(shù)據(jù)包中的端口號來進行區(qū)分;先使用ACL定義感興趣流量—哪些私有ip地址要被轉(zhuǎn)換
r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255 r2(config)#access-list 1 permit any 用ACL抓取所有ip r2(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload
list 1為本地
fastEthernet 1/0為全局
overload表示負載
多對多:(靜態(tài)或動態(tài))
定義內(nèi)部本地地址范圍 (抓取內(nèi)網(wǎng)ip)
r2(config)#access-list 2 permit 192.168.0.0 0.0.255.255
定義內(nèi)部全局地址范圍 (抓取外網(wǎng)ip)
r2(config)#ip nat pool xxx 12.1.1.2 12.1.1.10 netmask 255.255.255.0
配置多對多NAT
r2(config)#ip nat inside source list 2 pool xxx overload
其中Netmask為網(wǎng)絡(luò)掩碼,在配置多對多NAT時,是否攜帶overload將決定為靜態(tài)或動態(tài)多對多;
- 不攜帶—靜態(tài)多對多,最先來的邊界路由器上的9個私有ip地址與這9個公有ip地址形成一對一
- 攜帶—動態(tài)多對多,循環(huán)占用每個公有ip地址進行PAT
端口映射
r2(config)#ip nat inside source static tcp 192.168.1.100 80 12.1.1.2 80
解釋:通過外部訪問12.1.1.2,同時目標端口為80時,目標ip地址就一定被轉(zhuǎn)換為192.168.1.100,端口號80;
r2(config)#ip nat inside source static tcp 192.168.1.200 80 12.1.1.2 8080
解釋:通過外部訪問12.1.1.2同時目標端口為8080時,目標ip地址就一定被轉(zhuǎn)換為192.168.1.200,端口號80;
相關(guān)文章
- 這篇文章主要介紹了思科CCNA ACL訪問控制列表基本用法,結(jié)合實例形式總結(jié)分析了思科CCNA ACL訪問控制列表基本功能、原理、操作命令與使用注意事項,需要的朋友可以參考下2020-03-06
- 這篇文章主要介紹了思科CCNA telnet遠程登錄配置方法,結(jié)合實例形式分析了思科路由器Telnet遠程登錄配置步驟及客戶端、服務(wù)器端相關(guān)配置命令,需要的朋友可以參考下2020-03-06
思科CCNA路由器配置——DHCP+DHCP中繼服務(wù)配置實驗詳解
這篇文章主要介紹了思科CCNA路由器DHCP+DHCP中繼服務(wù)配置實驗,結(jié)合實例形式分析了思科路由器DHCP+DHCP中繼服務(wù)配置具體步驟、操作命令及相關(guān)注意事項,需要的朋友可以參考下2020-03-04- 這篇文章主要介紹了思科CCNA路由器PAP與CHAP認證配置實驗,結(jié)合實例形式分析了思科路由器PAP與CHAP認證配置具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可以參考下2020-03-04
思科CCNA路由器配置——OSPF基于區(qū)域的MD5認證實驗詳解
這篇文章主要介紹了思科CCNA路由器OSPF基于區(qū)域的MD5認證實驗,結(jié)合實例形式詳細分析了思科CCNA OSPF基于區(qū)域的MD5認證具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可2020-03-03思科CCNA路由器配置——基于區(qū)域的OSPF簡單認證配置實驗詳解
這篇文章主要介紹了思科CCNA基于區(qū)域的OSPF簡單認證配置實驗,結(jié)合實例形式分析了思科路由器配置區(qū)域OSPF認證的具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可以參考下2020-03-03思科CCNA路由器配置——廣播多路訪問鏈路上的OSPF配置實驗詳解
這篇文章主要介紹了思科CCNA路由器廣播多路訪問鏈路上的OSPF配置實驗,結(jié)合實例形式總結(jié)分析了思科路由器作廣播形式的OSPF訪問配置相關(guān)步驟、配置命令與操作注意事項,需要的2020-03-02思科CCNA路由器配置——基于OSPF協(xié)議實現(xiàn)全網(wǎng)互通效果配置實驗詳解
這篇文章主要介紹了思科CCNA路由器基于OSPF協(xié)議實現(xiàn)全網(wǎng)互通效果配置實驗,結(jié)合實例形式分析了思科路由器使用OSPF協(xié)議進行全網(wǎng)互聯(lián)配置的相關(guān)步驟、配置命令與操作技巧,需要2020-03-02思科CCNA認證學習筆記(十四)VLAN虛擬局域網(wǎng)原理與配置分析
這篇文章主要介紹了思科CCNA認證VLAN虛擬局域網(wǎng)原理與配置,總結(jié)分析了VLAN虛擬局域網(wǎng)相關(guān)概念、原理、配置步驟、操作命令與使用注意事項,需要的朋友可以參考下2020-02-21思科CCNA認證學習筆記(十三)EIGRP協(xié)議的工作過程及配置操作分析
這篇文章主要介紹了思科CCNA認證EIGRP協(xié)議的工作過程及配置操作,總結(jié)分析了思科CCNA認證EIGRP協(xié)議的原理、工作過程、配置命令及相關(guān)操作注意事項,需要的朋友可以參考下2020-02-21