ccna课件-第六天作者

CCNARouting

and

Switching作者：第一天：OSI参考模型、TCP/IP协议栈以及IP地址详解第二天：以太网双绞线，IOS设备初始化以及静态路由第三天：路由信息协议RIP第四天：开放式最短路径优先OSPF第五天：增强型

网关协议EIGRP，虚拟局域网VLAN第六天：

控制列表ACL，网络地址转换NATCCNA

R&SACL&NAT控制列表ACL为什么使用ACL？过滤：当数据包穿越路由器时通过过滤来管理IP流量分类：鉴别流量用于特殊处理CCNA

R&SACL&NAT出方向ACL操作如果没有ACL条目匹配，丢弃报文CCNA

R&SACL&NATACL动作：允许或CCNA

R&SACL&NATACL的类型标准ACL检测源地址允许或

全部协议单元扩展ACL检测源地址和目的地址通常允许或

特殊的协议或应用源目TCP/UDP端口协议类型（IP，ICMP，UDP，TCP或协议号）其中源目地址和协议类型是必须配置的CCNA

R&SACL&NAT识别ACL通过两种方式来识别标准和扩展ACL：型ACL使用数字来区分1-99和1300-1999：标准ACL100-199和2000-2699：扩展ACL命名型ACL使用一个描述名或数字来识别：名字中可以包含数字或字母在ACL中可以添加或删除条目CCNA

R&SACL&NATACL条目序列号命名型ACL支持序列号排序允许通过序列号修改ACL条目顺序允许通过序列号删除ACL中任意条目CCNA

R&SACL&NATACL配置向导无论是标准还是扩展ACL都用于

什么流量是被过滤的；应该将最特殊的条目放在ACL的顶部；ACL的最后一条为“

其他所有”，所以每一个列表至少都有一个允许条目；ACL被全局创建，再调用在一个或多个的进或出方向；ACL可以过滤穿越路由器流量，或抵达路由器流量，这取决于如何部署ACL；在每个接口的每个协议的每个方向只能部署一个ACL；CCNA

R&SACL&NATACL配置向导（2）当在网络中部署ACL时：将标准ACL部署在尽可能更靠近目的的位置将扩展ACL部署在尽可能更靠近源的位置CCNA

R&SACL&NATACL配置——

型ACL标准ACL配置R3(config)#access-list

1

deny

1.1.1.1R3(config)#access-list

1

deny

host

1.1.1.1R3(config)#access-list

1

deny

1.1.1.1

0.0.0.0以上三条都是

一个主机R3(config)#access-list

1

deny

1.1.1.0

0.0.0.255CCNA

R&SACL&NATACL配置——

型ACL（2）扩展ACL配置R1(config)#access-list

100

deny

icmp

host1.1.1.1

host

2.2.2.2

echoR1(config)#access-list

100

deny

tcp

1.1.1.0

0.0.0.255

2.2.2.0

0.0.0.255eq

80R1(config)#access-list

100

deny

tcp

any

host

2.2.2.2

eq

21R1(config)#access-list

100

deny

tcp

any

host

2.2.2.2

eq

20R1(config)#access-list100

deny

tcp

host

1.1.1.1

any

eq

443R1(config)#access-list

100

deny

tcp

2.2.2.0

0.0.0.255

eq

80

anyCCNA

R&SACL&NATACL配置——命名型ACL标准ACL配置R2(config)#ipaccess-list

standard

C-BR2(config-std-nacl)#deny

3.3.3.0

0.0.0.255R2(config-std-nacl)#permit

any扩展ACL配置R1(config)#ip

access-list

extended

PC0-PC1R1(config-ext-nacl)#deny

icmp

host

1.1.1.1

host

2.2.2.2

echoR1(config-ext-nacl)#permit

ip

any

anyCCNA

R&SACL&NATACL配置——调用以及验证调用：R3(config)#interface

fastEthernet

0/1R3(config-if)#ip

access-group

1

out查看ACLR3#show

ip

access-listsCCNA

R&SACL&NATACL配置——序列号序列号：通过

可修改、增加、删除ACL中部分条目R2(config)#ipaccess-list

standard

C-BR2(config-std-nacl)#no

10R2(config-std-nacl)#15

deny

3.3.3.0

0.0.0.255CCNA

R&SACL&NATnet——登录net使用tcp

23端口CCNA

R&SACL&NATnet配置被登录设备配置：R3(config)#line

vty

0

4R3(config-line)#password

ciscoR3(config-line)#loginCCNA

R&SACL&NAT查看

net连接CCNA

R&SACL&NAT网络地址转换NAT网络地址转换允许使用私有地址用户通过共享的一个或多个公有地址互联网。一个IP地址不是本地地址就是全局地址。本地IPv4地址在inside网络中。全局IPv4地址在outside网络中。CCNA

R&SACL&NAT网络地址转换NAT（2）NAT可以以多种形式工作：静态NAT（一对一）动态NAT（多对多）PAT（多对一）NAT操作对用户是透明的优点是提升了网络的安全性和可扩展性缺点是性能降低以及与有些端到端的应用不兼容CCNA

R&SACL&NAT静态NAT使用环境：当内网中有某些服务需要对提供时，需要使用静态NAT。CCNA

R&SACL&NAT静态NAT配置定义内

：R1(config)#interface

fastEthernet

0/1R1(config-if)#ip

nat

outsideR1(config)#int

f0/0R1(config-if)#ip

nat

inside定义转换规则：R1(config)#ip

nat

inside

source

static

172.16.1.1

12.1.1.1（将内网源IP为172.16.1.1的数据转换为源IP

12.1.1.1）由于NAT转换是双向，该指令可以对反向流量生效R1(config)#ip

nat

inside

source

static

tcp

172.16.1.1

80

12.1.1.1

80CCNA

R&SACL&NAT动态NAT使用环境：当可用的公网地址数量略少于内网用户数量时，可以选择动态NAT。CCNA

R&SACL&NAT动态NAT配置定义内

：略定义内网ACL和NAT地址池：R1(config)#access-list

1

permit

172.16.2.0

0.0.0.255R1(config)#ip

nat

pool

nat-pool

12.1.1.3

12.1.1.4

netmask255.255.255.0开始地址结束地址定义转换规则：R1(config)#ip

nat

inside

source

list

1

pool

nat-pool

(overload)注：overload关键字可使该地址池中的每个地址做PATCCNA

R&SACL&NAT端口地址转换PAT使用环境：当可用的公网地址数量只有一个时，需要使用PAT。CCNA

R&SACL&NAT