目录
3、easy nat 和cisco中的一对多相同:PAT端口地址转换
ACL:访问控制列表
1、访问控制:在路由器流量进或出的接口上,匹配流量,产生动作 --- 允许/拒绝
2、定义感兴趣流量
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不在查看下条;
华为的末尾隐含允许所有,cisco的末尾隐含拒绝所有;
标准ACL:仅关注数据包中的源ip地址;
扩展ACL:关注数据包中的源、目标ip地址,协议号或目标端口号;
标准ACL配置命令:
由于标准ACL仅关注数据包中的源ip地址;故调用位置不合理的话,将导致流量的误删;建议调用时尽量的靠近目标;使用编号创建ACL 编号2000-2999为标准列表 一个编号为一张,一张表中可以存在N条具体的信息
[r2]acl 2000 编号2000-2999为标准
[r2-acl-basic-2000]
[r2]acl name classroom-g 2000 --- 在标号前使用命名,来便于区分该ACL的使用位置
[r2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
动作 源ip地址,需要使用通配符
[r2-acl-basic-2000]rule permit source 1.1.1.0 0.0.0.255
[r2-acl-basic-2000]rule deny source any通配符和OSPF反掩码的区别:反掩码不能0和1穿插使用,通配符可以
[r2]display acl 2001默认以5为步调默认添加序号;便于删除和插入
[r2-acl-basic-2001]undo rule 5
[r2-acl-basic-2001]rule 6 permit source 1.1.1.0 0.0.0.255注:ACL被编写完成后,必须调用方可生效;在一台路由器的一个接口的一个方向上,只能调用一张表;
[r1]interface g 0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000扩展列表的配置:由于精确关注源、目标ip地址,所以无需担心误删,故建议调用时尽量靠近源;
【1】仅关注源、目标ip地址
[r2]acl 3000 编号3000-3999为扩展
[r2-acl-adv-3000]
[r2-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r2-acl-adv-3000]int g0/0/0
[r2-GigabitEthernet0/0/1]【2】关注源、目标ip地址的同时,关注目标端口号
[r1-acl-adv-3002]rule deny tcp source 192.168.1.3 0 destination 192.168.1.254 0 destination-port eq 23命令中若通配符全0,可仅写一个0;
以上命令的目的,在于限制192.168.1.3 对192.168.1.254的 TCP协议下目标端口号访问 --- Telnet服务
[r1-acl-adv-3003]rule deny icmp source 192.168.1.3 0 destination 192.168.1.254 0该命令拒绝了192.168.1.3对192.168.1.254的ping
【3】telnet 远程登录
终端基于TCP23目标端口,可以远程登录和访问服务设备(交换机、路由器、防火墙、vpn、服务器......)
条件:终端与被登陆设备间可达,同时被登录设备开启telnet服务;
[r1]aaa
[r1-aaa]local-user panda privilege level 15 password cipher 123456
[r1-aaa]local-user panda service-type telnet
[r1]user-interface vty 0
[r1-ui-vty0]authentication-mode aaaIPV4
公有IP地址 --- 全球唯一性,可以在互联网中通讯,需要付费使用
私有IP地址 --- 本地唯一性,不可以在互联网中通讯
A/B/C三类中的私有IP地址
10.0.0.0/8
172.16.0.0/16---172.31.0.0/16
192.168.0.0/24-192.168.255.0/24
NAT:网络地址转换
边界路由器将流量向互联网转发时,进行IP地址转换,将数据包中的私有IP地址,转换为公有地址;从内网向外网转发时,修改源IP地址,生成记录;在外网收到内网的请求后,进行回复,流量回到边界路由器上后,边界路由器基于目标IP,查询记录转换目标IP地址;
专业名词:一对一 一对多 多对多
动态 静态
全局(公有) 内部(私有)
华为的设备不需要在边界路由器上各个接口定义方向的,但NAT在边界路由器上的外部接口上配置
1、静态nat --- 和Cisco中的一对一 一致
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.22、动态nat 一 和cisco的多对多相同
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有IP范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有IP范围
[RTA-acl-basic-2000]quit
[RTA]interface serial 1/0/0 在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat私有 公有
切记:携带no-pat为静态多对多;不携带为动态多对多;
[RTA]display nat address-group 13、easy nat 和cisco中的一对多相同:PAT端口地址转换
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound4、nat服务器:和cisco的端口映射相同
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0该接口为连接公网的接口
nat server protocol tcp global current-interface xxx inside 192.168.3.254 xxx
nat server protocol tcp global current-interface 8080 inside 192.168.3.253 xxx