网络工程师之路由交换NAT地址转换、路由策略篇
以下均为个人笔记,摘录到csdn做备份
路由交换之NAT地址转换\路由策略
nat地址转换
HTTP 80
HTTPS 443
NAT一般部署在连接内网和外网的网关设备上
NAPT: 网络地址端口转换;基于端口的转换;允许多个内部地址映射到同一个公有地址的不同端口{一对多}
-
静态NAT:实现了私有地址和公有地址的一对一映射{公网可以访问私网}一个公网IP只会分配给唯一且固定的内网主机IP
配置:需配置IP,在出接口上配置:
nat static global { global-address} inside {host-address } 创建静态NAT
【global参数用于配置外部公网地址 inside参数用于配置内部私有地址】
dis nat static 查看静态NAT -
动态NAT: 动态NAT基于地址池来实现私有地址和公有地址的转换{只能私网访问公网}
配置:nat address-group 1 200.10.10.1 200.10.10.200 配置NAT地址池
acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255
在出接口 nat outbound 2000 address-group 1 no-pat 将ACL和一个地址池关联起来
【no-pat表示只转换数据报文的地址而不转换端口信息】
display nat address-group 1 查看NAT地址池配置信息
display nat outbound 查看动态NAT配置信息 -
NAPT: Easy IP :{适用与小规模局域网} 源IP地址和端口号与出接口的公网IP地址和端口号的映射关系;
将报文的源IP地址和端口号转换成出接口的IP地址和端口号,并转发报文到公网
配置:acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255
在出接口上 nat outbound 2000 对acl 2000的地址段进行地址转换,使用出接口作为NAT转换后的地址
display nat outbound -
NAT sever【服务器】 外部用户可以通过公网地址和端口来访问内部服务器
配置:需配置IP
出接口下 nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080 内部服务器的映射表
外部用户可以通过公网地址和端口来访问内部服务器
【protocol需地址转换的协议;global-address需转换的公网地址;inside内网服务器的地址】
display nat server 查看NAT服务器{sever}配置
路由策略
基于策略的路由(更改了路由表)
策略路由 :
路由表不变,让策略优先于路由表来进行转发 route-Policy 节点之间是“或” 的关系 多个if-match之间是“与”的关系
1、通过ACL提取兴趣流
2、定义流分类 traffic classifier
3、定义流行为 traffic behavior
4、定义流策略 traffic policy
5、在接口应用流策略
自治系统路径信息访问列表( as-path-filter):仅用于BGP协议,匹配BGP路由信息的自治系统路径域
团体属性列表( community-filter):仅用于BGP协议,匹配BGP路由信息的自治系统团体域
访问控制列表{ACL} :
功能: permit {允许、匹配数据}或拒绝deny{拒绝某些数据通过} 定义规则匹配数据执行其他操作
分类:
基本ACL {2000-2999 基于源IP地址匹配数据}
高级ACL{3000-3999 基于五元组匹配数据[源IP地址、目的IP地址、协议号、源端口号、目的端口号]}
二层ACL {4000-4999 [目的MAC、源MAC、type]}
ACL 2000
rule 5 deny source 2.2.2.2 0【{精确定义IP地址} 拒绝2.2.2.2 的地址[rule默认编号步长为5][先精细后粗犷]】
rule 2000 deny any {down掉所有}
int g0/0/0 traffic-filter inbound acl 2000 运行acl2000
ACL 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
{用于限制源地址范围是192.168.1.0/24,目的IP地址为172.16.10.1,目的端口号为21的所有TCP报文}
rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
{用于限制源地址范围是192.168.2.0/24,目的地址是172.16.10.2的所有TCP报文}
rule permit ip {用于匹配所有IP报文,并对报文执行允许动作}
int g0/0/0 traffic-filter outbound acl 3000
display acl
私网192.168.1.0/24将使用地址池220.110.10.8-220.110.10.15进行地址转换
私网192.168.2.0/24将使用地址池202.115.60.1-202.115.60.30进行地址转换
nat address-group 1 202.110.10.8 202.110.10.15
nat address-group 2 202.115.60.1 202.115.60.30
acl 2000 rule permit source 192.168.1.0 0.0.0.255
acl 2001 rule permit source 192.168.2.0 0.0.0.255
int g0/0/0 nat outbound 2000 address-group 1
nat outbound 2001 address-group 2
nat outbound address-group 命令,可以将NAT与ACL绑定
前缀传递信息路由表{匹配表项}
路由策略Route-Policy:
由若干个node构成,node间是“或”且每个node下可以有若干个if-match和apply子句
if-match之间是“与”的关系
dis port vlan
前缀列表:
匹配对象为路由信息的目的地址或直接作用于路由器对象(gateway)
ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28
Filter-Policy
能够对接收或发布的路由进行过滤,可应用于RIP、OSPF、BGP等协议
对协议接收的路由进行过滤:
filter-policy { acl-number | ip-prefix ip-prefix-name } import
其他:
可通过修改协议本身的一些属性来控制路由条目,从而影响流量转发路径:
若运行OSPF或ISIS协议,可通过调整接口Cost属性值来实现;
若运行RIP协议,可通过调整Metric或下一跳属性来实现;
若运行BGP协议,则可通过调整AS-Path、Local_Pref、MED、Community等属性来实现。
对协议发布的路由进行过滤:
filter-policy { acl-number | ip-prefix ip-prefix-name } export
ospf 更改接口带宽 bandwidth-reference
在这里欢迎大家的点赞、关注、评论,以此来促进大家互相学习交流,同时可以让新加入的小伙伴更快的了解新知识!!!
以上内容如有侵权,请联系作者进行删除
≧◠◡◠≦ 1分2分都是爱,感谢已经打赏的老板,和正在打赏的老板们 ≧◠◡◠≦