一、NAT(網絡地址轉換)
即公有地址轉換為私有地址
私有地址段(非公網地址,即公網不識別)
A 10.0.0.0 10.255.255.255
B 172.16.0.0 172.31.255.255
C 192.168.0.0 192.168.255.255
NAT轉換的方式:
一對一轉換(靜態NAT):即IP對IP(用於服務器掛載公網)
多對一轉換(動態NAT):即IP集群對公網的接口(用於用戶寬帶上網)
NAT基本語法:
ip nat inside(內網) source(源) 源的方式 指向外網的方式(接口或IP)
源的方式一般有兩個:ACL列表和static靜態IP地址
靜態NAT指向外網的方式一般是IP
動態NAT指向外網的方式一般是接口
做NAT轉換的一般步驟(思路):
針對靜態NAT: ip nat inside source static 內網地址 外網地址
進入處於外網的接口:ip nat outside
進入處於內網的借口:ip nat inside
針對動態NAT: access-list 10 permit IP地址(創建一條允許訪問的ACL記錄)
ip nat inside source list 10 int f0/1(指向所處外網的接口)
進入處於外網的接口:ip nat outside
進入處於內網的接口:ip nat inside
情景實例:
要求:PC能夠訪問服務器上的網頁(服務器已開啟HTTP服務)
詳細配置:
1. 配置計算機和服務器的IP地址
2. 路由器各個接口配上要求的IP地址(代碼不做展示)
3. R2路由器做靜態NAT
ip nat inside source static 10.1.1.2 111.1.1.2
int f0/0(外網接口)
ip nat outside
int f0/1(內網接口)
ip nat inside
4. R1路由器做動態NAT
access-list 10 permit 10.1.1.1
access-list 10 permit 10.1.1.2
ip nat inside source list 10 int f0/1
int f0/0(內網接口)
ip nat inside
int f0/1(外網接口)
ip nat outside
驗證:PC訪問111.1.1.2即可(因為做靜態NAT時服務器的內網IP轉換到了公網的指定IP)
二、VLAN與Trunk
VLAN(虛擬局域網):
即由交換機組成一個網絡,默認情況下交換機的所有接口都在一個VLAN中(即VLAN1)
將交換機的接口從原來的VLAN1遷移到其他VLAN內,稱作VLAN的划分
當終端設備連接不同VLAN時,相當於網絡被邏輯層面分割
查看VLAN表:show vlan brief
創建VLAN:vlan XX(XX代表VLAN號)
將接口划入相應的VLAN:
進入端口后:switchport mode access
Switchport access vlan xx
Trunk(中繼):
即允許多個VLAN經過交換機的接口,其直接目的是為了使交換機做級聯
情景實例:
下面我們就通過這個實驗拓撲來直觀的講下VLAN和trunk
(一張圖搞懂VLAN和Trunk)
如圖所示:
PC0一直到PC7共八台主機,其中PC0到PC3四台主機連到了交換機SW1中,其余四台連到了交換機SW2中,八台主機都設置好了IP地址,且保證在一個網段里。
由於我們對交換機未作任何設置,並且八台主機都在一個網段,那么我們可以保證八台主機是可以相互通信的(VLAN1)
實驗一:按照拓撲右上角的信息將每台主機划分到相應的VLAN中
首先對SW1進行設置:
(首先創建VLAN)
vlan 10
vlan 20
進入主機聯入交換機的相應接口,做如下設置:
int f0/1;int f0/2;int f0/3;int f0/4 //(或者用簡便指令:int range f0/1-4)
switchport mode access
switchport access vlan 10;switchport access vlan 20
交換機SW2的指令和SW1幾乎一致!
完成實驗一后,我們發現:
SW1中連接的PC0和PC1;PC2和PC3能互相通信(SW2也一樣)
但PC0,PC1卻不能與PC2,PC3互相通信
虛擬局域網(VLAN)起到了作用,效果拔群!
同時我們發現SW1下的VLAN10,VLAN20還是不能與SW2下的VLAN10,VLAN20進行通信
那么我怎么樣才能使之相互通信呢?
這就要用到Trunk中繼技術了
實驗二:SW1與SW2設置級聯
SW1和SW2用交叉線連接(其實現在的技術不在乎用直通線或交叉線了,因為現在的網卡都自帶了自適應的功能),然后每台交換機進入級聯接口輸入以下指令:
switchport mode trunk
完成實驗二后,我們發現:
SW1中的VLAN10能和SW2中的VLAN10進行通信(VLAN20同理)
Trunk起到了作用,效果依舊拔群!(笑)
特典:ACL簡介(2018-12-20修改版)
ACL訪問控制列表的主要功能是匹配感興趣的數據流(主要是針對IP地址)和匹配路由信息(IP),其類型有兩種:標准和擴展(訪問列表所對應的序號分別為1~99及100~199),兩種ACL的訪問動作都為deny和permit(拒絕和允許)。
ACL在默認的情況下,其內容都屬於“白名單”模式,即默認所有的ACL表最后的語句都自帶了deny all語句。
標准語法:
1. access-list (標准ACL)
命令格式: access-list 訪問控制列表序號 訪問動作 {source [通配符掩碼] | any}
其中: 控制列表序號為1~99(標准ACL)
訪問動作:permit和deny
source指明了該條控制列表規則應用的源IP地址
通配符源碼:即反掩碼(以后另開一篇文章好好講下)
如果在末尾加上參數any,說明此時所有的地址都是匹配這條ACL的
2. access-list (擴展ACL)
命令格式: access-list 訪問控制列表序號 訪問動作 所使用的協議 {source [通配符掩碼] destination [通配符掩碼] | any} eq 端口號(或服務名)
其中: 控制列表序號為100~199(擴展ACL)
訪問動作:permit和deny
所使用的協議:如TCP、UDP、IP、ICMP等
source指明了該條控制列表規則應用的源IP地址
destination指明了該條控制列表規則應用的目標IP地址
3. ip access-group
命令格式:ip access-group 控制列表序號 針對流量點
其中: 控制列表序號是之前創建的,我們進入接口后要進行調用
針對流量點有兩個:in和out(即入口和出口)
下面,我們通過幾個實例來簡單介紹下ACL的應用:
實例:
1. 創建並配置訪問控制列表,80,拒絕來自IP地址12.1.1.1的數據(標准ACL):
access-list 80 deny 12.1.1.1 //創建標准訪問控制列表1,設定拒絕IP地址12.1.1.1的數據
access-list 80 permit any //允許所有的IP地址,因為路由器訪問控制列表的最后默認隱含了deny any規則,不加上此條,則所有IP地址都會被拒絕
int f0/0 //進入接口從而調用訪問控制列表
ip access-group 80 in //在當前接口下調用訪問控制列表1,針對從當前端口進入路由器的流量
2. 創建並配置訪問控制列表107,要求如下(擴展ACL):
允許IP地址1.1.1.2訪問服務器2.2.2.1,但只能http訪問,其他方式無效;
拒絕IP地址1.1.1.3訪問服務器2.2.2.1;
允許其他所有流量的通過。
access-list 107 permit tcp host 1.1.1.2 host 2.2.2.1 eq 80
//創建擴展訪問控制列表107,設定允許1.1.1.2訪問2.2.2.1,但限定http的流量(80端口是HTTP的服務端口,tcp是HTTP的應用服務)
access-list 107 deny ip host 1.1.1.3 host 2.2.2.1
//設定拒絕1.1.1.3訪問2.2.2.1
access-list 107 permit ip any any
//設定允許其他所有流量的通過
int f0/1 //進入接口從而調用訪問控制列表
ip access-group 107 out //在當前接口下調用訪問控制列表107,針對從當前端口流出路由器的流量
3. 創建並配置訪問控制列表105,拒絕來自主機12.1.1.1到23.1.1.3的telnet流量;並允許其他所有的流量通過。
access-list 105 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet
//創建擴展訪問控制列表105,設定拒絕12.1.1.1訪問23.1.1.3,但僅限定telnet的流量(telnet的流量基於TCP協議)
access-list 105 permit ip any any
//設定允許其他所有流量的通過
int f0/1 //進入接口從而調用訪問控制列表
ip access-group 105 out //在當前接口下調用訪問控制列表105,針對從當前端口流出路由器的流量
小總結:ACL訪問控制列表檢索自上而下,在檢索的過程中存在合適的條目則不再繼續檢索,若檢索不出,默認執行deny any列表。因此在配置ACL訪問控制列表時,無論基礎和擴展,建立規則都要遵從先局部,后全局的思想進行!