网络工程师_思科 | ACL和NAT串起来讲吧
R1(config-if)#do show run int f0/0 //查看某一个接口的配置
ACL:访问控制列表
Access Control List
作用:
1.对数据包进行过滤---允许--拒绝
2.抓取路由条目--对路由条目设置参数-----NP
规则:
1.acl最后有一条默认的拒绝有的流量(隐含的)
2.匹配规则:从上往下依次匹配
3.ACL不能拒绝自身产生的流量
4.每个接口,每个方向(in out)只能应用一个ACL的表号
5.具有严格限制的条目应该写在最上面
分类:
1.标准ACL
只能对数据包的源IP进行控制-----允许---拒绝
1-99 1300-1999
配置:
R1(config)#access-list 1 deny host 192.168.1.100 //定义ACL,拒绝192.168.1.100
R1(config)#access-list 1 permit any //允许所有
R1(config-if)#ip access-group 1 in //接口下应用拒绝整个网段:
R1(config)#access-list 1 deny 192.168.1.0 0.0.0.2552.扩展ACL
能够对源ip,目的ip,源端口,目的端口,协议---5元组
100-199 2000-2699
拒绝192.168.1.100访问3.3.3.3的所有数据
定义ACL:
R1(config)#access-list 100 deny ip host 192.168.1.100 host 3.3.3.3
R1(config)#access-list 100 permit ip any any 接口下调用:
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in3.命名的ACL----用字符串代替表号
标准命名
扩展命名
R1(config)#ip access-list extended jujue
R1(config-ext-nacl)#deny icmp host 192.168.1.100 host 3.3.3.3
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group jujue in路由器收到数据包怎么处理的:
1.查看路由表
2.查看ACL
NAT:网络地址转换 Network Address Translation
1.ADSL拨号---便宜---PPPOE拨号---地址会变化
2.静态公网地址---有钱---公司内部有服务器---某宝网站
有什么作用:
1.IP地址不足的问题---共享上网--很多人共享一个公网ip地址
2.安全
所有的公网地址,都是互通。
NAT分类:
1.静态NAT---1对1转换---发布服务器---
第一步:定义内外网口
g(config)#int f0/0
g(config-if)#ip nat inside
g(config-if)#int f1/0
g(config-if)#ip nat outside第二步:转换项
g(config)#ip nat inside source static 192.168.1.100 23.1.1.99
Server#debug ip icmp //在控制台弹出和ICMP相关的信息
g#show ip nat translations //查看NAT转换表项2.动态
3.端口复用NAT
使用反掩码的地方:
1.OSPF宣告网段
2.EIGRP宣告网段
3.ACL
NAT:网络地址转换
1.静态nat----发布服务器---地址1对1---
ip nat inside source static tcp 192.168.1.100 23 23.1.1.66 8888
ip nat inside source static tcp 192.168.1.100 22 23.1.1.66 99992.动态nat----
把多个内网ip地址转换成多个公网ip
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface FastEthernet1/0
ip address 23.1.1.2 255.255.255.0
ip nat outside
g(config)#access-list 10 permit 192.168.1.0 0.0.0.255
g(config)#ip nat pool ThinkMo 23.1.1.10 23.1.1.11 netmask 255.255.255.0
g(config)#ip nat inside source list 10 pool ThinkMo
g#clear ip nat translation * //清理nat 转换项3.端口复用nat
ip nat inside source list 10 pool ThinkMo overload //外网地址池
ip nat inside source list 10 interface f1/0 overload //转换成出接口上网交换机工作原理:
收到一个数据帧,查目的mac地址,查mac地址表,转发数据帧。
基于源mac学习,基于目的mac转发。
NA---交换---二层交换----二层交换机---没有路由的交换机
交换机为什么会产生环路:
STP:防止环路---默认开启
VLAN:虚拟局域网--Virtual Local Area Network--二层--默认所有端口都在VLAN1
一个vlan可以理解成一个网段---一个子网----一个广播域
Switch#show vlan brief //查看vlan信息---真机---EVE--PT--
SW#show vlan-switch brief //GNS3查看vlan信息2种端口类型:
- access--接入--一般是用于连接PC--服务器--终端设备
这个端口只允许一种vlan的流量通过
- trunk--中继----一般是用于连接交换机---路由器
这个端口允许多种vlan的流量通过
交换机trunk端口的两种封装协议:
dot1q---801.1q---公有的协议
ISL-----思科私有
创建VLAN的2种方法:
1.静态VLAN--手工配置---基于端口划分
①全局模式下------最多
Switch(config-vlan)#vlan 3
Switch(config-vlan)#name dmz //可敲可不敲---名字而已
Switch(config-vlan)#end②vlan database
Switch#vlan database
Switch(vlan)#vlan 5 name kk
Switch(vlan)#exit把端口划进VLAN:
R1(config-if)#int f0/2 //ACCESS
R1(config-if)#switchport access vlan 3 //把端口划进vlan3
R1(config-if)#switchport mode access //access模式
R1(config-if)#int f0/0
R1(config-if)#switchport trunk encapsulation dot1q //封装协议是dot1q
R1(config-if)#switchport mode trunk //trunk模式2.动态VLAN----现在不用--vmps--VLAN管理策略服务器
txt----mac地址和vlan信息的对应变相
基于mac地址
思科历史---思科早期只做路由器(ios)----交换---Catalyst(CatOS)---IOS
- 同一交换机不同vlan不通
- 不同交换机同一vlan通
腾讯云开发者
