CCNA 笔记之ACL,NAT(持续更新)

ACL
类型:1标准访问列表 2扩展访问列表

标准访问列表:
编号1-99,1300-1999,也可用名字表示
仅靠源地址判断

扩展访问列表:
编号100-199,2000-2699,也可用名字表示
可以靠源地址,目的地址,协议,端口号四部分来判断
源地址 目的地址

应用:1控制数据进入路由器或者从路由器中转播出去
     2决定是否允许以vty(虚拟终端)模式访问该路由器

outbound ACL operation(应用在路由器的出口上)
inbound ACL operation(应用在路由器的入口上)

如果两条访问列表发生冲突,以上面一条为优先.

只有三个地方使用反转掩码:1 OSPF宣告网络号 2 EIGRP宣告网络号 3 访问控制列

表匹配(0表示匹配,1表示忽略)
注意:默认最后一行为deny any,即拒绝所有,这条不现实.

ACL命令格式:
标准访问列表格式:
router(config)#access-list 访问列表号码 permit(deny) 源地址 掩码(反转,可不写,缺省为0000,匹配所有) 
例子:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#int e 0
router(config-if)#ip access-group 1 out               
以上例子的意义:应用在e0口的出口方向,只允许172.16网段的数据从e0口出去
扩展访问列表格式:
router(config)#access-list 号码 permit(或deny) 协议(可加协议端口) 源地址 源地址掩码 源端口(可省略) 目标地址 目标地址掩码 目标端口(可省略)
例子:
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
router(config)#access-list 101 permit ip any any
router(config)#int e 0
router(config)#ip access-group 101 out

控制用户vty访问
router(config)#line vty 号码
router(config)#access-class 号码 in
例子:
router(config)#access-list 12 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
router(config-line)#access-class 12 in
只允许192.168.1网段的可以vty到该路由器

察看ACLs
1.show ip interfaces 接口
例如
router#show ip interfaces e0
*******************
*****************
*******************
outgoing access list is not set             出口没有ACL
inbound access list is 1                    入口有一个ACL 1
*****************
*******************
*****************
2.router#show access-lists

 

NAT
PAT 端口地址转化
配置静态转化
例子:
int s0
ip add 192.168.1.1 255.255.255.0
ip nat outside                                   设置NAT的出口(外网接口)
!
int e0
ip add 10.1.1.1 255.255.255.0
ip nat inside                                    设置NAT的入口(内网接口)
!
ip nat inside source static 10.1.1.2 192.168.1.2   将10.1.1.3转化为192.168.1.2
配置动态转化
通常是将内网的一组地址转化为外网的一组地址
router(config)#ip nat pool 地址池名 开始地址 结尾地址 netmask 掩码              
router(config)#access-list 号码 permit 需要转化的内部地址
router(config)#ip nat inside source list  号码 pool 地址池名
例子:
ip nat pool net-208 171.69.233.209 171.69.233.222 netmask 255.255.255.240
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool net-208
int e 0
ip nat inside
int s 0
ip nat outside

 

动态转化总结四步骤:
1 设置地址池(即转化后地址,通常为外网地址)
2 设置access-list(即将要被转化的地址,通常为内网地址)
3 转化(ip nat inside source list 1 pool net-208)
4 设置出口借口,入口接口(outside,inside)

察看NAT
1.router#show ip nat translations

Inside local：指的是分配给主机的内网地址。一般来说是私有地址
Inside global：一般来说是一个合法的公网地址。可将内网一个主机或多个子网映射出去；一般可在公网路由
Outside local：指外部地址出现在内网中的地址；一般可在公网路由
Outside global：一般指外网主机地址；一般可在公网路由
local为内网看到的,global为外网看到的.