Telnet 远程登录
基于tcp的23号端口进行访问,要求登录与被登录设备可达,其次被登录设备开启了远程登录服务。
在被登录设备上预设登录的账号及密码
[R]aaa
[R]local-user bai privilege level 15 password cipher +code
[R]local-user bai service-type telnet
[R]q
虚拟登录接口调用
[R]user-interface vty 0 4
[R]authentication-mode aaa
NAT
分类:
1、静态 动态
2、一对一 一对多 多对多 端口映射
动态nat和静态nat最大的区别在于地址映射表中的内容是可以变化的,而不是写死的。故,动态nat不再是一对一的关系,而是多对多的转换。(多对多 一对多)
动态nat在同一时间还是一个公网IP对应一个私网IP,所以当上网的需求变大时,便只能进行排队,造成延时上升。
为了解决动态nat同一时间一个公网ip只能对应一个私网ip的问题,在边界路由器上,再维护一张源端口号和私网ip地址的映射关系表;因为端口号的取值为1-65535,即65535个,所以NAPT同时支持通过的数据包数量也就是65535个,这就形成了一对多的NAPT,在华为系统中称这种NAPT为EASY IP 当上网需求非常大的时候,一个公网ip可能不够用,可使用多个公有ip,即可形成65535的倍数增长,形成多对多的NAPT
配置命令:
【一】一对一
一种标准的静态NAT,固定将一个ip地址转换为另一个ip地址,在边界路由器上连接外部的接口进行配置,华为要求一对一的公有ip地址不能为外部接口上实际配置的ip地址,若实际ip地址为12.1.1.1则配置命令时可写成12.1.1.3(作虚空地址),若直接写成实际地址则会冲突,配置不成功。
[R]g0/0/0
[R]nat static global 12.1.1.3 inside 192.168.1.2
公有ip地址12.1.1.3
dis nat static 查询nat映射关系
global——公网
static——私网
在边界路由器上连接外部的接口上配置
【二】一对多:
将多个私有ip地址转换为同一个公有ip地址,基于端口号进行区分;故又被称为PAT-端口地址转换;属于一种动态的NAT;
缺点:
1、1ms内最多同时进行65535个数据包的地址转换,超过该数据包量需要排队增加延时;
2、由于一对多是内部的多个ip地址与外部的一个ip地址产生临时的映射关系,故只能内部向外部进行数据请求后,产生映射记录,才能让外部服务端基于该记录进行应答——内部的服务器无法为外部的服务器提供服务。
先使用acl定义可被转换的私有ip地址范围
[R]acl 2000
[R]rule permit source 192.168.1.0 0.0.0.255
[R]q
再在边界路由器连接外部的接口上配置一对多
[R]int g0/0/0
acl表格2000中关联ip流量,在通过该接口转出时修改源ip地址为该物理接口g0/0/0的ip地址,并产生临时的映射列表,用于数据包的回复。
[R]NAT outbound 2000
【三】多对多
将多个私有ip地址转换为多个公有ip地址
先使用acl定义私有ip地址的范围
[R]acl 2000
[R]rule permit source 172.16.0.0 0.0.255.255
[R]q
将内网所有ip定义为感兴趣流量
再定义公有ip地址范围
[R]nat address-group 1 12.1.1.3 12.1.1.10
创建nat地址池
1、必须是公网地址
2、必须是连续地址
最后到边界路由器上,连接外网的接口进行多对多的配置
[R]g0/0/0
[R]nat outbound 2000 address-group 1
住:以上的配置命令实现的效果为172.16.0.0 0.0.255.255范围内所有的私有ip地址进入边界路由器,向外部访问时,将以65535个端口为批次循环使用12.1.1.3到12.1.1.10所有公有ip地址;实则为同时多个一对多;
若在命令的尾部添加no-pat指令,多对多将从动态nat变成静态nat
增加no-pat后最先来到边界路由器的ip地址,将逐一与公有ip地址进行一对一的绑定;当所有公有ip被绑定完后,其他私有地址将无法再被转发。
【四】端口映射 NAPT也叫PAT
(又满足一对多,又满足一对一)
属于静态nat,仅用于一个ip地址的一个固定端口另一个ip地址的一个固定端口进行地址转换
当外部访问本地的g0/0/0地址,且目标端口号为80时,将目标ip地址转换为192.168.1.2的80端口;
[R]g0/0/0
[R]nat server protocol tcp global current-interface 80 inside 192.168.1.2 80