nat配置步骤
(1)定义内外网接口
//多个入口,一个出口
内网:
int f0/1
ip add 192.168.1.1 255.255.255.0
no shut
ip nat inside
外网:
int f0/2
ip add 212.102.11.1 255.255.255.0
no shut
ip nat outside
(2)建立映射关系
A.静态nat
ip nat inside source static 192.168.1.100 212.102.11.100
//ip nat inside source static 内部私有地址、内部公网地址
B.动态nat
ip nat pool cisco 212.102.11.1 212.102.11.10 netmask 255.255.255.0
//ip nat pool 池名 开始内部公网地址 结束内部公网地址 netmask 子网掩码
ip nat inside source list 1 pool cisco (overload)
//ip nat inside source list 号码 pool 池名 (overload)
access-list 1 permit 192.168.1.0 0.0.0.255
//access-list 号码 permit 内部私有地址 反掩码
显示nat转换表
show ip nat translations
显示转换统计信息
show ip nat statistics
检查nat转换包
debug ip nat
undebug ip nat
ACL
(1)标准ACL //编号:1-99
A.定义访问控制列表
access-list 1 permit 10.0.0.0 0.255.255.255
//access-list 编号 permit/deny 源地址/源网络 反码
B.把标准acl应用到一个具体的接口
int f0/1
ip access-group 1 out/in
(2)扩展ACL //编号:100-199
A.定义访问控制列表
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
//access-list 编号 deny 协议类型(ip,tcp,udp等) 源地址 反掩码 目的地址 反掩码 eq(等于、lt小于、gt大于、neq不等于) 端口号
B.把标准acl应用到一个具体的接口
int f0/1
ip access-group 101 out/in
(3)命名ACL
A.创建acl命名
ip access-list extend/standard name
B.定义访问控制列表
permit/deny 源地址 反码
permit/deny 协议类型(ip,tcp,udp等) 源地址 反掩码 目的地址 反掩码 eq(等于、lt小于、gt大于、neq不等于) 端口号
C.acl应用到一个具体的接口
int f0/1
协议类型 access-group name out/in
any= 0.0.0.0 255.255.255.255
host 172.30.16.29=172.30.16.29 0.0.0.0
拒绝192.168.2.2的主机发送数据包,其他的都允许
Router(config)#access-lsit 1 deny host 192.168.2.2
Router(config)#access-lsit 1 permit any
假如允许192.168.2.2的访问发送数据包其他的都拒绝
Router(config)#access-lsit 1 permit host 192.168.2.2
Router(config)#access-lsit 1 deny any
显示acl:show ip access-list