CCNA学习笔记Day6
来源:互联网 发布:db2 sql 正则表达式 编辑:程序博客网 时间:2024/05/14 13:41
1.ACL = 一个筛子,将东西分成两类。
2.一个router可以有多个ACL,通过编号区分。分成标准ACL(编号1~99,1300~1999)扩展ACL(100~199,2000~2999)。
acl10 permit 192.168.1.0 0.0.0.255(允许数据源来自192.168.1.0这个网段,10是acl编号)
acl 10permit 192.168.2.0 0.0.0.255(允许数据源来自192.168.2.0这个网段,0.0.0.255是通配符掩码)
acl 10deny 192.168.2.0 0.0.0.255(拒绝数据源来自192.168.3.0这个网段)
3.ACL严格自上而下匹配,对于192.168.2.0/24,执行acl 10 permit 192.168.2.0。默认拒绝,如果表中没有匹配项目,一律拒绝,例如4.4.4.4/24通过上面的ACL,将被拒绝。
4.通配符掩码
wildmask对0,和1的连续性都没有规定。mask在二进制里,0所对应的bit严格匹配,1所对应bit的可以是0或者1。例如,通配符掩码是0.255.255.0对应的是1.*,*,1。
习题
用一条命令运允许所有的1.1.1.0/24网段中奇数IP
1.1.1.1(3,5,7,9)
3=00000011 ,5=0000 0101,7=0000 0111 ,9=0000 1001,11=0000 1011。。。。
0.0.0. 11111110(254)
Access-list 10 permit 1.1.1.1 (最后8bits必须是奇数,所以可以是1.1.1.3, 1.1.1.5, 1.1.1.7.。。) 0.0.0.254
习题
一条ACL命令允许只允许下面8个IP
1.1.1.128,1.1.1.130 ,1.1.1.136, 1.1.1.138, 1.1.1.160, 1.1.1.162,1.1.1.168, 1.1.1.170
解答:1000 0000(128)
1000 0010(130)
1000 1000 (136)
1000 1010 (138)
1010 0000 (160)
1010 0010 (162)
1010 1000 (168)
1010 1010 (170)
Mask=00*0 *0*0
00101010 1010 = 32+10=42
答案:access-list 10 permit 1.1.1.128(128可以换成上述8个中的一个) 0.0.0.42
ip=10*0 *0*0
5.配置
建立ACL
(config)#access-list 1 permit 1.1.1.4 0.0.0.0(标准的ACL,只允许1.1.1.4)
(config)#access-list 1permit host 1.1.1.4(同上一句,常用)
(config)#access-list 1 permit any(允许所有,必须写着最后,否则之后全是废话。)
(config)#access-list 100 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255(扩展的ACL加上协议,tcp或者udp;扩展的ACL有两个地址,前一个是src,des,所有的条件之间是and的关系。
(config)#access-list 100 permit tcp any 4.4.4.0 0.0.0.255(运行任何tcp的包到4.4.4.0的网段)
(config)#access-list 100 permit host 1.1.1.0 4.4.4.0 0.0.0.255(host和4.4.4.0混用)
(config)#access-list 100 permit ip any any(允许所有的源,协议,目的)
(config)#access-list 100 permit host 1.1.1.0 eq1234 4.4.4.0 0.0.0.255 eq 80
端口号是找到IP后,用来在这个IP的进程,识别进程的,具体的端口号有规定。
6.筛选IP流量,在端口上使用ACL。这是ACL的另一个功能。
(config-if)#ip access-group 100 in(使用ACL 100的筛选in,进入这个接口的方向,out是出这个接口)
7.路由器不过滤自己产生的流量。实践中尽量将ACL用在近目的的端口上。
8.NAT使IPV4多活了20年
一个例子
Ping 百度,如果PC的IP=192.168.1.100,类似与津巴布韦币,发给Tp-link,如果Tp-link上没有百度的ip,会有从默认的ip发过去,发给运营商的服务器和路由器。这些服务器里面有百度的IP,包发给baidu后,百度回包会回到一个二级运营商(ISP)的地址,比如202.160.46.34,类似与$。通过NAT将ISP给的地址转换成本地的地址192.168.100。
默认路由0.0.0.0 0.0.0,企业要上网需要配这条静态路由
Inside地址和Outside地址:使用在设备在内部,就是inside地址;同理Outside地址
Local地址和Global地址;本地有效的地址是Local地址,如果网络中的任何一个角落都认的地址是Global地址
9.NAT配置(在内网和外网的边界路由设置)
1)NAT一转一(static)
(config)#ip nat inside source static192.168.1.100 202.106.46.34(将192.168.1.100转成202.106.46.34这个ISP路由表中的地址)
(config)#int f0/0(设置int的角色,因为route不知道那个int接外部,哪个接了内部)
(config-if)#ip nat outside (设置int f/0为外部接口,连外网)
(config)#int f0/1
(config-if)#ip nat inside(设置int f/1为外部接口,连内网)
2)NAT多转一(端口ip)
(config)#ip nat inside source list 100interface f0/1overload(NAT多地址转一个,必须有overload,如果没有overload,只转先来的地址。将ACL 100中permit的地址全部转NAT,转成int f0/1地址。多个IP NAT转化成一个IP时,为了区别是哪个通过端口号(进程号)区分是哪个ip转成的相同的IP
一个PC通常占百来个端口号
3)NAT多转多(用pool,ACL中的地址转pool中地址)
(config)#ip nat inside source list 100 pool NAMEoverload(将list100中的permit地址转成地址池NAME中的地址)
(config)#access-list 100 permit any
(config)#ip nat pool NAME 建立地址池
(config)#ip nat pool NAME 202.106.46.30 202.106.46.35netmask 255.255.255.0(一个地址池只能放连续的地址,这条命令表示202.106.46.30 202.106.46.35,并且是子网掩码相同的,如果是两个不连续的地址建立两个地址池分别放)
- CCNA学习笔记Day6
- java学习笔记day6
- Android学习笔记day6
- 机器学习学习笔记.day6
- CCNA学习笔记
- CCNA学习笔记
- CCNA学习笔记之一
- CCNA学习笔记#01
- CCNA学习笔记
- CCNA学习笔记1
- CCNA学习笔记Day1
- CCNA学习笔记Day2
- CCNA学习笔记Day3
- CCNA学习笔记Day4
- CCNA学习笔记Day5
- CCNA第一章学习笔记
- CCNA学习笔记
- css-day6-个人学习笔记
- 正则表达式.
- EJB到底是什么
- C++字符串操作函数
- Android、iOS和Windows Phone中的推送技术
- Java中对ArrayList进行排序
- CCNA学习笔记Day6
- hibernate事务与并发
- C++资源大全
- win7 获得文件夹权限
- malloc_free排序小程序
- UT4412BV03 开发板快速上手操作指南
- 第十五章之普通菜单
- Kinect开发笔记之(三)Kinect开发学习资源整理
- js获取url参数值