CCNA学习笔记Day6

1.ACL = 一个筛子，将东西分成两类。

2.一个router可以有多个ACL，通过编号区分。分成标准ACL（编号1~99，1300~1999）扩展ACL（100~199，2000~2999）。

acl10 permit 192.168.1.0 0.0.0.255（允许数据源来自192.168.1.0这个网段，10是acl编号）

acl 10permit 192.168.2.0 0.0.0.255（允许数据源来自192.168.2.0这个网段，0.0.0.255是通配符掩码）

acl 10deny 192.168.2.0 0.0.0.255（拒绝数据源来自192.168.3.0这个网段）

3.ACL严格自上而下匹配，对于192.168.2.0/24,执行acl 10 permit 192.168.2.0。默认拒绝，如果表中没有匹配项目，一律拒绝，例如4.4.4.4/24通过上面的ACL，将被拒绝。

 4.通配符掩码

wildmask对0，和1的连续性都没有规定。mask在二进制里，0所对应的bit严格匹配，1所对应bit的可以是0或者1。例如，通配符掩码是0.255.255.0对应的是1.*，*，1。

习题

用一条命令运允许所有的1.1.1.0/24网段中奇数IP

1.1.1.1（3,5,7,9）

3=00000011 ，5=0000 0101，7=0000 0111 ，9=0000 1001,11=0000 1011。。。。

0.0.0.       11111110（254）

Access-list 10 permit  1.1.1.1 (最后8bits必须是奇数，所以可以是1.1.1.3, 1.1.1.5, 1.1.1.7.。。)  0.0.0.254

习题

一条ACL命令允许只允许下面8个IP

1.1.1.128，1.1.1.130 ，1.1.1.136， 1.1.1.138， 1.1.1.160， 1.1.1.162，1.1.1.168， 1.1.1.170

解答：1000 0000（128）

1000 0010（130）

1000 1000 （136）

1000 1010 （138）

1010 0000 （160）

1010 0010 （162）

1010 1000 （168）

1010 1010 （170）

Mask=00*0  *0*0

00101010  1010 = 32+10=42

答案：access-list 10  permit  1.1.1.128（128可以换成上述8个中的一个） 0.0.0.42

 ip=10*0 *0*0

5.配置

建立ACL

（config）#access-list 1 permit 1.1.1.4 0.0.0.0（标准的ACL，只允许1.1.1.4）

（config）#access-list 1permit host 1.1.1.4（同上一句，常用）

（config）#access-list 1 permit any（允许所有，必须写着最后，否则之后全是废话。）

 

（config）#access-list 100 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255（扩展的ACL加上协议，tcp或者udp；扩展的ACL有两个地址，前一个是src，des，所有的条件之间是and的关系。

 

（config）#access-list 100 permit tcp any 4.4.4.0 0.0.0.255（运行任何tcp的包到4.4.4.0的网段）

（config）#access-list 100 permit host 1.1.1.0  4.4.4.0 0.0.0.255（host和4.4.4.0混用）

（config）#access-list 100 permit ip any any（允许所有的源，协议，目的）

（config）#access-list 100 permit host 1.1.1.0 eq1234  4.4.4.0 0.0.0.255 eq 80

端口号是找到IP后，用来在这个IP的进程，识别进程的，具体的端口号有规定。

 

6.筛选IP流量，在端口上使用ACL。这是ACL的另一个功能。

（config-if）#ip access-group 100 in（使用ACL 100的筛选in，进入这个接口的方向，out是出这个接口）

7.路由器不过滤自己产生的流量。实践中尽量将ACL用在近目的的端口上。

8.NAT使IPV4多活了20年

一个例子

Ping 百度，如果PC的IP=192.168.1.100，类似与津巴布韦币，发给Tp-link，如果Tp-link上没有百度的ip，会有从默认的ip发过去，发给运营商的服务器和路由器。这些服务器里面有百度的IP，包发给baidu后，百度回包会回到一个二级运营商（ISP）的地址，比如202.160.46.34，类似与$。通过NAT将ISP给的地址转换成本地的地址192.168.100。

默认路由0.0.0.0 0.0.0，企业要上网需要配这条静态路由

Inside地址和Outside地址：使用在设备在内部，就是inside地址；同理Outside地址

Local地址和Global地址；本地有效的地址是Local地址，如果网络中的任何一个角落都认的地址是Global地址

9.NAT配置（在内网和外网的边界路由设置）

1）NAT一转一（static）

(config)#ip nat inside source static192.168.1.100 202.106.46.34（将192.168.1.100转成202.106.46.34这个ISP路由表中的地址）

(config）#int f0/0（设置int的角色，因为route不知道那个int接外部，哪个接了内部）

(config-if)#ip nat outside (设置int f/0为外部接口，连外网)

(config）#int f0/1

(config-if)#ip nat inside(设置int f/1为外部接口，连内网)

2）NAT多转一（端口ip）

(config)#ip nat inside source list 100interface f0/1overload（NAT多地址转一个，必须有overload，如果没有overload，只转先来的地址。将ACL 100中permit的地址全部转NAT，转成int f0/1地址。多个IP NAT转化成一个IP时，为了区别是哪个通过端口号（进程号）区分是哪个ip转成的相同的IP

一个PC通常占百来个端口号

 3）NAT多转多（用pool，ACL中的地址转pool中地址）

 (config)#ip nat inside source list 100 pool NAMEoverload（将list100中的permit地址转成地址池NAME中的地址）

(config)#access-list 100 permit any

(config)#ip nat pool NAME 建立地址池

(config)#ip nat pool NAME 202.106.46.30 202.106.46.35netmask 255.255.255.0（一个地址池只能放连续的地址，这条命令表示202.106.46.30 202.106.46.35，并且是子网掩码相同的，如果是两个不连续的地址建立两个地址池分别放）