网络工程师_思科 | ACL和NAT串起来讲吧

2019-08-23 19:40:48 浏览数 (1)

R1(config-if)#do show run int f0/0 //查看某一个接口的配置

ACL:访问控制列表

Access Control List

作用:

1.对数据包进行过滤---允许--拒绝

2.抓取路由条目--对路由条目设置参数-----NP

规则:

1.acl最后有一条默认的拒绝有的流量(隐含的)

2.匹配规则:从上往下依次匹配

3.ACL不能拒绝自身产生的流量

4.每个接口,每个方向(in out)只能应用一个ACL的表号

5.具有严格限制的条目应该写在最上面

分类:

1.标准ACL

只能对数据包的源IP进行控制-----允许---拒绝

1-99 1300-1999

配置:

代码语言:javascript复制
R1(config)#access-list 1 deny host 192.168.1.100  //定义ACL,拒绝192.168.1.100
R1(config)#access-list 1 permit any  //允许所有     
R1(config-if)#ip access-group 1 in  //接口下应用

拒绝整个网段:

代码语言:javascript复制
R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255

2.扩展ACL

能够对源ip,目的ip,源端口,目的端口,协议---5元组

100-199 2000-2699

拒绝192.168.1.100访问3.3.3.3的所有数据

定义ACL:

代码语言:javascript复制
R1(config)#access-list 100 deny ip host 192.168.1.100 host 3.3.3.3 
R1(config)#access-list 100 permit ip any any 

接口下调用:

代码语言:javascript复制
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in

3.命名的ACL----用字符串代替表号

标准命名

扩展命名

代码语言:javascript复制
R1(config)#ip access-list extended jujue
R1(config-ext-nacl)#deny icmp host 192.168.1.100 host 3.3.3.3
R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/0
R1(config-if)#ip access-group jujue in

路由器收到数据包怎么处理的:

1.查看路由表

2.查看ACL

NAT:网络地址转换 Network Address Translation

1.ADSL拨号---便宜---PPPOE拨号---地址会变化

2.静态公网地址---有钱---公司内部有服务器---某宝网站

有什么作用:

1.IP地址不足的问题---共享上网--很多人共享一个公网ip地址

2.安全

所有的公网地址,都是互通。

NAT分类:

1.静态NAT---1对1转换---发布服务器---

第一步:定义内外网口

代码语言:javascript复制
g(config)#int f0/0  
g(config-if)#ip nat inside 
g(config-if)#int f1/0
g(config-if)#ip nat outside

第二步:转换项

代码语言:javascript复制
g(config)#ip nat inside source static 192.168.1.100 23.1.1.99
Server#debug ip icmp  //在控制台弹出和ICMP相关的信息
g#show ip nat translations  //查看NAT转换表项

2.动态

3.端口复用NAT

使用反掩码的地方:

1.OSPF宣告网段

2.EIGRP宣告网段

3.ACL

NAT:网络地址转换

1.静态nat----发布服务器---地址1对1---

代码语言:javascript复制
ip nat inside source static tcp 192.168.1.100 23 23.1.1.66 8888
ip nat inside source static tcp 192.168.1.100 22 23.1.1.66 9999

2.动态nat----

把多个内网ip地址转换成多个公网ip

代码语言:javascript复制
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
!
interface FastEthernet1/0
 ip address 23.1.1.2 255.255.255.0
 ip nat outside
g(config)#access-list 10 permit 192.168.1.0 0.0.0.255
g(config)#ip nat pool ThinkMo 23.1.1.10 23.1.1.11 netmask 255.255.255.0
g(config)#ip nat inside source list 10 pool ThinkMo
g#clear ip nat translation *  //清理nat 转换项

3.端口复用nat

代码语言:javascript复制
ip nat inside source list 10 pool ThinkMo overload   //外网地址池
ip nat inside source list 10 interface f1/0 overload  //转换成出接口上网

交换机工作原理:

收到一个数据帧,查目的mac地址,查mac地址表,转发数据帧。

基于源mac学习,基于目的mac转发。

NA---交换---二层交换----二层交换机---没有路由的交换机

交换机为什么会产生环路:

STP:防止环路---默认开启

VLAN:虚拟局域网--Virtual Local Area Network--二层--默认所有端口都在VLAN1

一个vlan可以理解成一个网段---一个子网----一个广播域

代码语言:javascript复制
Switch#show vlan brief  //查看vlan信息---真机---EVE--PT--
SW#show vlan-switch brief  //GNS3查看vlan信息

2种端口类型:

  • access--接入--一般是用于连接PC--服务器--终端设备

这个端口只允许一种vlan的流量通过

  • trunk--中继----一般是用于连接交换机---路由器

这个端口允许多种vlan的流量通过

交换机trunk端口的两种封装协议:

dot1q---801.1q---公有的协议

ISL-----思科私有

创建VLAN的2种方法:

1.静态VLAN--手工配置---基于端口划分

①全局模式下------最多

代码语言:javascript复制
Switch(config-vlan)#vlan 3
Switch(config-vlan)#name dmz  //可敲可不敲---名字而已
Switch(config-vlan)#end

②vlan database

代码语言:javascript复制
Switch#vlan database
Switch(vlan)#vlan 5 name kk
Switch(vlan)#exit

把端口划进VLAN:

代码语言:javascript复制
R1(config-if)#int f0/2   //ACCESS
R1(config-if)#switchport access vlan 3  //把端口划进vlan3
R1(config-if)#switchport mode access   //access模式


R1(config-if)#int f0/0 
R1(config-if)#switchport trunk encapsulation dot1q   //封装协议是dot1q
R1(config-if)#switchport mode trunk   //trunk模式

2.动态VLAN----现在不用--vmps--VLAN管理策略服务器

txt----mac地址和vlan信息的对应变相

基于mac地址

思科历史---思科早期只做路由器(ios)----交换---Catalyst(CatOS)---IOS

  • 同一交换机不同vlan不通
  • 不同交换机同一vlan通

0 人点赞