2007-3-24第四天CCNA课

本次课程主要讲解：

访问控制列表与ＮＡＴ

一、访问控制列表是用于控制数据包传输以及控制虚拟端口，比如：telnet等登录设定！

访问列表：分为标准与扩展两种控制列表

标准访问控制列表：只检测源地址；

扩展访问控制列表：做到可以检测源地址，目标地址，以及协义及走哪个端口；

 

标准访问控制列表：编号： 1-99 和1300-1999

扩展访问控制列表：编号： 100-199 和2000-2699

还可以通过命名访问列表，一般用的比较少；

 

注：同一编号的访问控制列表，可以应用多个条件作控制；

标识一台主机可以用下面的形式表现，两种方法都是等价的！

172.30.16.29 0.0.0.0（注此是反子网掩码）＝host 172.30.16.29

 

二、访问控制列表的配置方式：

标谁访问列表：

在全局配置模式下：

(config)#access-list 编号 permit | deny  地址

(config-if)#ip access-group 编号  in |out　　（进行对应的接口，进行应用）

默认情况下，对某个接口应用了一条ＡＣＬ后，其它都是默认deny

in 一般情况下用的比较少，

out较为通用，允许有多个条件

扩展访问列表：

(config)#access-list 编号 permit |deny 协义 源地址 反子网掩码 目标地址  反子网掩码 eq 端口号

 

如果是对于虚拟接口的话，

ip access-class in | out

 

查看命令：

show ip interface

show access-lists

show ip access-list

 

三、ＮＡＴ地址转换

地址转换:NAT 与PAT

静态地址转换：

a.    ip nat inside

b.    ip nat outside

e.    ip nat inside source static 局域网IIP    外网IP

 

动态地址映射:

a.    ip nat inside

b.    ip nat outside

c.    access-list 编号  permit |deny 地址

d.    ip nat pool 池名 外网开始IP   外网结束IP  正常子网掩码

e.    ip nat inside source list 编号 pool 池名

清除方法：

#clear ip nat translation *

#clear ip nat translation inisde 外网IP outside 内网IP

 

查看方式：

#show ip nat translation

#show ip nat stati  详细查看

 

端口映射：

a.    ip nat inside

b.    ip nat outside

c.    access-list 编号  permit |deny 地址

d.    ip nat inisde source list  编号  interface 外网接口 overload

 

 

如果在做实现时：想要实时看到效果！请打开

#debug ip nat 并PING 外网发包

就可以看到实时的效果了！

 

本文出自 “成就梦想---唯有执著努..” 博客，谢绝转载！