配置DHCP服務
1、全域ip dhcp pool 名字(定義地址池)
2、network 192.168.1.0 255.255.255.0(動態分配IP地址段)
3、default-router 192.168.1.254(動態分配的網關地址)
4、dns-server 202.106.0.20(動態分配的DNS服務器地址)
5、全域:ip dhcp excluded-address 192.168.1.1(預留已靜態分配的IP地址)
一、訪問控制串列概述
1、訪問控制串列(ACL):
讀取第三層、第四層包頭資訊
根據預先定義好的規則對包進行過濾
2、訪問控制串列的處理程序
如果匹配第一條規則,則不再往下檢查,路由器將決定該資料包允許通過或拒絕通過。
如果不匹配第一條規則,則依次往下檢查,直到有任何一條規則匹配。
如果最后沒有任何一條規則匹配,則路由器根據默認的規則將丟棄該資料包。
3、訪問控制串列的型別:
1)標準訪問控制串列
基于源IP地址過濾資料包
串列號是1~99
2)擴展訪問控制串列
基于源IP地址、目的IP地址、指定協議、埠等來過濾資料包
串列號是100~199
二、標準訪問控制串列
1、標準訪問控制串列的創建
全域:access-list 1 deny 192.168.1.1 0.0.0.0
全域:access-list 1 permit 192.168.1.0 0.0.0.255
通配符掩碼:也叫做反碼。用二進制數0和1表示,如果某位為1,表明這一位不需要進行匹配操作,如果為0表明需要嚴格匹配。
隱含拒絕陳述句:
access-list 1 deny 0.0.0.0 255.255.255.255
2、將ACL應用于介面
介面模式:ip access-group 串列號 in或out
注:access-list 1 deny 192.168.1.1 0.0.0.0或寫為
access-list 1 deny host 192.168.1.1
access-list 1 deny 0.0.0.0 255.255.255.255或寫為
access-list 1 deny any
3、洗掉已建立的訪問控制串列
全域:no access-list 串列號
4、介面上取消ACL
介面模式:no ip access-group 串列號in 或out
5、查看訪問控制串列
特權:show access-lists
三、擴展訪問控制串列
1、作用
可以根據源IP地址,目的IP地址,指定協議,埠等過濾資料包。
2.擴展訪問控制串列號:100-199
3、eq等于、lt小于、gt大于
4、擴展訪問控制串列案例:
例1:全域: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(允許192.168.1.0網路訪問192.168.2.0網路的所有服務)
全域: access-list 101 deny ip any any
(拒絕所有)
例2:全域: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80
(拒絕192.168.1.0網段訪問192.168.2.2的TCP的80埠)
全域:access-list 101 permit ip any any(允許訪問所有)
5、洗掉擴展ACL
全域:no access-list 串列號
注:擴展與標準ACL不能洗掉單條ACL陳述句,只能洗掉整個ACL。
6、擴展ACL應該應用在離源地址最近的路由器上。
一、NAT(網路地址轉換)
1、作用:通過將內部網路的私有IP地址翻譯成全球唯一的公網IP地址,使內部網路可以連接到互聯網等外部網路上。
2、優點:
節省公有合法IP地址
處理地址重疊
安全性
3、NAT的缺點
延遲增大
配置和維護的復雜性
不支持某些應用,可以通過靜態NAT映射來避免
4、NAT實作方式
1)靜態轉換
IP地址的對應關系是一對一,而且是不變的,借助靜態轉換,能實作外部網路對內部網路中某些特設定服務器的訪問。
靜態NAT配置:
配置介面IP及路由
全域:
Ip nat inside source static 192.168.1.1 61.159.62.131
在內外介面上啟用NAT:
進入出口配置:ip nat outside
進入入口配置:ip nat inside
埠映射:
ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80
2)埠多路復用(PAT)
通過改變外出資料包的源IP地址和源埠并進行埠轉換,內部網路的所有主機均可共享一個合法IP地址實作互聯網的訪問,節約IP。
PAT的配置:
全域:ip nat inside source list 1 interface f0/1 overload
5、NAT兩種實作方式的區別:
靜態轉換的對應關系一對一且不變,并且沒有節約公用IP,只隱藏了主機的真實地址。
埠多路復用可以使所有內部網路主機共享一個合法的外部IP地址,從而最大限度地節約IP地址資源。
二、查看NAT轉換條目
特權:show ip nat translations顯示當前存在的轉換
三、清除NAT轉換條目
1、特權: clear ip nat translation * 清除NAT轉換條目中的所有所條目
注:靜態NAT條目不會被清除
四、顯示每個轉換的資料包
特權:debug ip nat
S表示源地址
D表示目的地址
192.168.1.2->61.159.62.130表示將192.168.1.2轉換為61.159.62.130
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/30091.html
標籤:其他
上一篇:【求解】confluence 發送測驗郵件成功,但頁面變更、關注都收不到郵件
下一篇:執行bat 檔案報錯,急急急