NAT和ACL基本配置

nat配置步骤

（1）定义内外网接口

//多个入口，一个出口

内网：

int f0/1

ip add 192.168.1.1 255.255.255.0

no shut

ip nat inside

外网：

int f0/2

ip add 212.102.11.1 255.255.255.0

no shut

ip nat outside

（2）建立映射关系

A.静态nat

ip nat inside source static 192.168.1.100 212.102.11.100

//ip nat inside source static 内部私有地址、内部公网地址

B.动态nat

ip nat pool cisco 212.102.11.1 212.102.11.10 netmask 255.255.255.0

//ip nat pool 池名 开始内部公网地址 结束内部公网地址 netmask 子网掩码

ip nat inside source list 1 pool cisco （overload）

//ip nat inside source list 号码 pool 池名 （overload）

access-list 1 permit 192.168.1.0 0.0.0.255

//access-list 号码 permit 内部私有地址 反掩码

显示nat转换表

show ip nat translations

显示转换统计信息

show ip nat statistics

检查nat转换包

debug ip nat

undebug ip nat

 ACL

（1）标准ACL      //编号：1-99

A.定义访问控制列表

access-list 1 permit 10.0.0.0 0.255.255.255

//access-list 编号 permit/deny 源地址/源网络 反码

B.把标准acl应用到一个具体的接口

int f0/1

ip  access-group 1 out/in

（2）扩展ACL      //编号：100-199

A.定义访问控制列表

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

//access-list 编号 deny 协议类型（ip，tcp，udp等） 源地址 反掩码 目的地址 反掩码 eq（等于、lt小于、gt大于、neq不等于） 端口号

B.把标准acl应用到一个具体的接口

int f0/1

ip  access-group 101 out/in

（3）命名ACL

A.创建acl命名

ip access-list extend/standard name

B.定义访问控制列表

permit/deny 源地址 反码

permit/deny  协议类型（ip，tcp，udp等） 源地址 反掩码 目的地址 反掩码 eq（等于、lt小于、gt大于、neq不等于） 端口号

C.acl应用到一个具体的接口

int f0/1

协议类型  access-group name out/in

any= 0.0.0.0 255.255.255.255

host 172.30.16.29=172.30.16.29 0.0.0.0

拒绝192.168.2.2的主机发送数据包，其他的都允许

Router(config)#access-lsit 1 deny host 192.168.2.2

Router(config)#access-lsit 1 permit any

假如允许192.168.2.2的访问发送数据包其他的都拒绝

Router(config)#access-lsit 1 permit host 192.168.2.2

Router(config)#access-lsit 1 deny any

显示acl：show ip access-list