注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

乾颐堂_安德(Ender)的博客

学无前后达者为先,此博客是一个有态度网络技术共享平台,共享给大家更多知识和经验

 
 
 

日志

 
 
关于我

Ender“老湿”:双CCIE(R&S CCIE、ISP CCIE),思科认证讲师#34XXX,HCIE v2.0第一人。毕业于东北大学电子商务专业。在原公司及其他企业参与的重点项目和培训有: R&S CCIE专题课 SP CCIE专题课 思科支蜀援川项目 索尼中国(无锡)NP课程 能在这里找到我:QQ群106111081 我的微博:weibo.com/enderjoe

网易考拉推荐

ACL访问控制列表和NAT地址转换  

2014-12-29 21:56:52|  分类: 初级阶段课程 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
ACL-access control list访问控制列表
匹配路由
过滤数据包
访问控制
ACL由一系列的允许或者拒绝组成
由上到下(10,20,30)
当匹配到某类报文的时候,后续的不再执行
ACL最后一行隐式拒绝所有,deny any
用数字来表示ACL
1-99(1300-1999)标准的ACL:
仅仅检查源地址,不区分协议栈(IP/TCP/UDP)

100-199(2000-2699)扩展的ACL
检查源目地址,区分协议栈
用命名的方式

通配符掩码(本质是范围)
0标识match
1标识ignore
10.1.10.0 0.0.0.255
172.30.16.0 0.0.15.255
含义是:172.30不能变化,固定
16-00010000
(00010001-17)
(00010011-19)
(00010111-23)
(00011111-31)
15-00001111
从172.30.16.0
  172.30.17.6
  172.30.31.0
一个特殊的例子
0.0.0.0 255.255.255.255(前缀是任意 全1,所有的bit都是任意变化)

ACL设置完毕需要调用才生效

扩展的ACL(五元组):
deny ip host 10.1.1.10 host 209.X.X.197
permit tcp 10.1.1.0 0.0.0.255 host 209.x.x.197/any eq 80
       协议    源                     目的范围  目的端口号

ACL对抵达流量、穿越流量生效,对本设备发起流量(通常)不生效
===================================
NAT
1、静态一对一 PK
server被映射到公网去,方便外部去访问server
定义接口(inside/outside)
e0/0.10 e0/0.20
做转换
202.100.1.2 ---->202.100.1.1 (23)
tcp 202.100.1.1:23     10.1.20.100:23     202.100.1.2:23838  202.100.1.2:23838
ip nat inside source static 10.1.20.100 202.100.1.1
把目标地址为202.100.1.1(inside global地址,即SP提供的地址)转换为10.1.20.100(insde local,内部的服务器)
 NAT*: s=202.100.1.2, d=202.100.1.1->10.1.20.100 [19270]
*Dec 28 10:48:43.518: NAT*: s=202.100.1.2, d=202.100.1.1->10.1.20.100 [19271]
*Dec 28 10:48:43.523: NAT*: s=202.100.1.2, d=202.100.1.1->10.1.20.100 [19272]
*Dec 28 10:48:43.726: NAT*: s=10.1.20.100->202.100.1.1, d=202.100.1.2 [15983]
2、动态方式 多对多 火拼
地址池多个公网IP地址转换成为多个私有网络地址
3、PAT 多对一(端口地址转换,复合使用) 
inside local---局域网的内部地址
inside global---SP分配给企业的公网IP地址
用处多
关键字overload
ip nat inside source list NAT interface Ethernet0/1 overload
原始:
10.1.10.100(31745)->202.100.1.2(23)
202.100.1.1(31745)->202.100.1.2(23)
s=10.1.10.100->202.100.1.1, d=202.100.1.2 [56007]
IPv6、PPPOE





  评论这张
 
阅读(279)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017