13.CCNA第十三天-NAT-ACL 网络地址转换
NAT 网络地址转换
由于私有地址并不具有全球唯一这一特性,所以不会将私有网络前缀部署在互联网上
通常情况下,运营商会为客户分配一个公有网络中的地址,也就是通常我们所说的公网IP
inside local 内部本地地址 本地网络中的主机IP地址
inside global 内部全局地址 一般是由运营商提供给客户的IP地址
outside global 外部全局地址 外部网络的主机地址
static NAT 静态NAT
dynamic NAT 动态NAT(现在很少用)
PAT 端口地址转换
1、匹配接口
2、匹配感兴趣流
inside-to-outside 先路由再转换
数据在经过决策之后的出接口上,进行感兴趣流匹配,以决定是否进行转换以及如何转换
out-to-inside 先转换再路由
数据从入接口进行感兴趣流匹配,转换完成再进行路由决策
ACL 访问控制列表 是IOS上一个定义匹配流量的工具
传统的ACL可以匹配数据报文中的IP地址
定义流量之后可以赋予不同的行为
ip access-list standard NAT
permit 10.1.1.0 0.0.0.255
ip access-list standard NAT
permit 10.1.0.0 0.0.30.255
自上而下的进行匹配
如果报文被某个条目匹配到,则执行行为,后面不再对该报文进行匹配
ACL 的最后一行,是一条隐式命令,它的作用是拒绝一切
(通配符掩码:0代表匹配,care;
1代表放行,don't care)
cisco IOS的ACL默认步长为 10
na
host
any
ip nat inside source static 10.1.10.100 192.168.1.100
Branch#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 192.168.1.100 10.1.10.100 --- ---
inside接口:ip nat inside
int e0/0.100
ip nat inside
int e0/1
ip nat outside
内网接口上需要做转换(定义入接口和出接口)
outdide接口:ip nat outside
PAT:端口地址转行(路由器上存在匹配的感兴趣流量ACL)
#ip nat inside source list NAT interface e0/1 overload
list:端口NAT用列表list
overload:过载
接口也可以用公网IP代替
Branch#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.1:4 10.1.10.100:4 192.168.1.2:4 192.168.1.2:4
Branch#show ip access-lists
Standard IP access list NAT
10 permit 10.1.10.0, wildcard bits 0.0.0.255 (1 match)
匹配到了感兴趣流量
静态端口映射
ip nat inside source static tcp 10.1.10.100 80 192.168.1.1 666 extendable
标准的ACL
仅仅只关心源 也就是说,关心IP报头中的源地址字段
并且会匹配到整个IP协议栈
扩展的ACL
关心源和目的字段
并且还支持匹配上层封装
规则:
在过滤流量的情况下,一个接口、一个方向,只能调用一个ACL
一般情况下,应该在更靠近源的位置部署ACL
ICMP:type =3 code =13,管理上的拒绝;
ACL最后隐式拒绝所有,
更精确的条件应该放在列表的上面,
先拒绝后放行所有,具体的也要看ACL的精确性。
、
作业:
在HQ上部署静态地址转换
将Server的TCP 80端口 映射到 本设备公网IP地址(192.168.1.2)的 TCP 8888端口
在Branch上部署PAT 使得PC1和PC2都能够访问互联网(能ping通192.168.1.2),Branch设备上不能写静态路由
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">
浙公网安备 33010602011771号