思科网络路由知识点整理四

标准ACL：通过使用IP包中的源IP地址进行过滤，范围1-99，1300-1999

 

扩展ACL：可以针对包括协议类型，源地址，目的地址，源端口，目的端口和TCP连接建立等进行过滤，范围100-199，2000-2699。

 

标准ACL的创建和应用

access-list 1 deny 172.16.1.0 0.0.0.255

access-list 1 permit any

int s0/0

ip access-group 1 in

//接口模式下应用ACL

line vty 0 4

access-calss 2 in

password cisco

login

//只有ACL 2允许的进行登入验证，注意标识符。

 

查看

show ip access-lists

 

配置两条扩展ACL

access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www

access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet

 

基于时间的ACL

定义时间范围

time-range time

periodic weekdays 8:00 to 18:00

访问列表调用time-range

access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time

接口应用

int s0/1

ip access-group 111 in

 

可以show time-range

 

动态ACL

当某用户想访问某WWW服务，必须先telnet路由器成功后才能访问

1 建立本地数据库

username ccie password cisco

access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet

//打开telnet访问权限

access-list 120 permit eigrp any any//允许EIGRP协议

access-list 120 dynamic test timeout 120 permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

//dynamic定义动态ACL，timeout定义动态ACL绝对的超时时间。

interface s0/0

ip access-group 120 in

line vty 0 4

login login

autocommand access-enable host timeout 5

//在一个动态ACL中创建一个临时性的访问控制列表条目，timeout定义了空闲超时值。

 

自反ACL

内网可以主动访问外网，但是外网不能主动访问内网，从而保护内网。

 

配置DHCP服务

用路由器模拟

service dhcp

//开启DHCP服务

no ip dhcp conflict logging

//关闭DHCP冲突日志

ip dhcp pool ccie

//定义地址池

network 192.168.1.0/24

//DHCP服务器要分配的网络和掩码

domain-name cisco.com

//域名

default-router 192.168.1.1

//默认网关，这个地址要和相应网络所连的路由器的以太网地址相同

netbios-name-server 192.168.1.2

//wins服务器

dns-server 192.168.1.4

//DNS服务器

option 150 ip 192.168.1.3

//TFTP服务器

lease infinite

//定义租期

ip dhcp excluded-address 192.168.1.1 192.168.1.5

//排除的地址段

 

show ip dhcp pool

//查看DHCP地址池的信息

show ip dhcp binding

//查看DHCP的地址绑定情况

 

NAT有3种类型：静态NAT，动态NAT，端口地址转换PAT。

 

静态NAT：内部网络地址静态转换，内部本地地址与内部合法地址进行一对一转换。如果内部网络有服务器时，这些IP地址必须采用静态转换。

动态NAT：动态NAT首先定义地址池，然后用动态分配的方法映射到内部网络。也是一对一的映射。

PAT：是把内部地址映射到外部网络的IP地址的不同端口上，从而实现多对一的映射。PAT是最节省IP地址的。

 

配置静态NAT

ip nat inside source static 192.168.1.1 202.96.1.3

//配置内部地址映射到全局地址

int fa1/0

ip nat inside

//配置NAT内部接口

int s0/0

ip nat outside

//配置NAT外部接口

 

查看

debug ip nat

//当ping时，可以看到地址的转换过程

 

show ip nat translations

//可以查看到映射关系

 

配置动态NAT

ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0

//配置动态地址池

ip nat inside source list 1 pool NAT

//配置动态映射

access-list 1 permit 192.168.1.0 0.0.0.255

//允许动态NAT转换的内部范围

int g0/0

ip nat inside

int s0/0

ip nat outside

 

附加查看命令

show ip nat statistice

//查看NAT转换的统计信息

 

配置PAT

ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0

ip nat inside source list 1 pool NAT overload

access 1 permit 192.168.1.0 0.0.0.255

int f0/0

ip nat inside

int s0/0

ip nat outside

//就是加一个overload

 

此时查看的时候就用一个地址，针对不同端口进行重复调用。

 

查看过期时间

show ip nat translation verbose

修改超时时间

ip nat translation timeout xxx

 

如果主机数量不多，可以直接用outside接口地址配置PAT，不必配置地址池，如下

ip nat inside source list 1 interface s0/0 overload

 

本文出自 “网络思科” 博客，转载请与作者联系！