学习HCIA的day.7

目录

ACL:访问控制列表

标准ACL配置命令:

【1】仅关注源、目标ip地址

【2】关注源、目标ip地址的同时,关注目标端口号

【3】telnet 远程登录  

IPV4

A/B/C三类中的私有IP地址

NAT:网络地址转换

1、静态nat --- 和Cisco中的一对一 一致

2、动态nat 一 和cisco的多对多相同

3、easy nat 和cisco中的一对多相同:PAT端口地址转换

4、nat服务器:和cisco的端口映射相同


ACL:访问控制列表

1、访问控制:在路由器流量进或出的接口上,匹配流量,产生动作 --- 允许/拒绝

2、定义感兴趣流量

匹配规则:

至上而下逐一匹配,上条匹配按上条执行,不在查看下条;

华为的末尾隐含允许所有,cisco的末尾隐含拒绝所有;

标准ACL:仅关注数据包中的源ip地址;

扩展ACL:关注数据包中的源、目标ip地址,协议号或目标端口号;

标准ACL配置命令:

由于标准ACL仅关注数据包中的源ip地址;故调用位置不合理的话,将导致流量的误删;建议调用时尽量的靠近目标;使用编号创建ACL  编号2000-2999为标准列表  一个编号为一张,一张表中可以存在N条具体的信息

[r2]acl 2000  编号2000-2999为标准

[r2-acl-basic-2000]

[r2]acl name classroom-g 2000  --- 在标号前使用命名,来便于区分该ACL的使用位置

[r2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0

                                       动作                  源ip地址,需要使用通配符

[r2-acl-basic-2000]rule permit source 1.1.1.0 0.0.0.255

[r2-acl-basic-2000]rule deny source any

通配符和OSPF反掩码的区别:反掩码不能0和1穿插使用,通配符可以

[r2]display acl 2001

默认以5为步调默认添加序号;便于删除和插入

[r2-acl-basic-2001]undo rule 5

[r2-acl-basic-2001]rule 6 permit source 1.1.1.0 0.0.0.255

注:ACL被编写完成后,必须调用方可生效;在一台路由器的一个接口的一个方向上,只能调用一张表;

[r1]interface g 0/0/1

[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

扩展列表的配置:由于精确关注源、目标ip地址,所以无需担心误删,故建议调用时尽量靠近源;

【1】仅关注源、目标ip地址

[r2]acl 3000   编号3000-3999为扩展

[r2-acl-adv-3000]

[r2-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r2-acl-adv-3000]int g0/0/0

[r2-GigabitEthernet0/0/1]

【2】关注源、目标ip地址的同时,关注目标端口号

[r1-acl-adv-3002]rule deny tcp source 192.168.1.3 0 destination 192.168.1.254 0 destination-port eq 23

命令中若通配符全0,可仅写一个0;

以上命令的目的,在于限制192.168.1.3 对192.168.1.254的 TCP协议下目标端口号访问 --- Telnet服务

[r1-acl-adv-3003]rule deny icmp source 192.168.1.3 0  destination 192.168.1.254 0

该命令拒绝了192.168.1.3对192.168.1.254的ping

【3】telnet 远程登录  

终端基于TCP23目标端口,可以远程登录和访问服务设备(交换机、路由器、防火墙、、服务器......)

条件:终端与被登陆设备间可达,同时被登录设备开启telnet服务;

[r1]aaa

[r1-aaa]local-user panda privilege level 15 password cipher 123456

[r1-aaa]local-user panda service-type telnet

[r1]user-interface vty 0

[r1-ui-vty0]authentication-mode aaa

IPV4

公有IP地址 --- 全球唯一性,可以在互联网中通讯,需要付费使用

私有IP地址 --- 本地唯一性,不可以在互联网中通讯

A/B/C三类中的私有IP地址

10.0.0.0/8

172.16.0.0/16---172.31.0.0/16

192.168.0.0/24-192.168.255.0/24

NAT:网络地址转换

边界路由器将流量向互联网转发时,进行IP地址转换,将数据包中的私有IP地址,转换为公有地址;从内网向外网转发时,修改源IP地址,生成记录;在外网收到内网的请求后,进行回复,流量回到边界路由器上后,边界路由器基于目标IP,查询记录转换目标IP地址;

专业名词:一对一   一对多   多对多

动态       静态 

全局(公有)     内部(私有)

华为的设备不需要在边界路由器上各个接口定义方向的,但NAT在边界路由器上的外部接口上配置

1、静态nat --- 和Cisco中的一对一 一致

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1

[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2

2、动态nat 一 和cisco的多对多相同

[RTA]nat address-group 1  200.10.10.1  200.10.10.200  公有IP范围

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   私有IP范围

[RTA-acl-basic-2000]quit

[RTA]interface serial 1/0/0            在连接互联网的公有ip地址接口配置

[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat

                                              私有                          公有

切记:携带no-pat为静态多对多;不携带为动态多对多;

[RTA]display nat address-group 1

3、easy nat 和cisco中的一对多相同:PAT端口地址转换

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有

[RTA-acl-basic-2000]quit

[RTA]interface serial1/0/0          该接口为公有ip地址所在接口;

[RTA-Serial1/0/0]nat outbound 2000

[RTA]display nat outbound

4、nat服务器:和cisco的端口映射相同

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0该接口为连接公网的接口

nat server protocol tcp global current-interface xxx inside 192.168.3.254 xxx

nat server protocol tcp global current-interface 8080 inside 192.168.3.253 xxx

你可能感兴趣的:(学习,网络,智能路由器)