路由配置:
通信是双方向的
从源到目的路上的所有的路由器必须要有源和目标的路由条目,才能实现正常通信
要想实现全网互通,网络中的所有路由器必须要有所有网段的路由条目
配置静态路由:
ip route 目标网段 目标网段的子网掩码 下一跳路由器接口地址(或者自己的出接口)
ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 (华为设备)
显示路由表:
display ip routing-table 华为设备
show ip route cisco设备
实现企业网络通信
1、依靠静态路由或者动态路由协议实现内网互通
2、在边界路由器上配置通往互联网的默认路由
3、在边界路由器上配置NAT(网络地址转换)
4、在内网其它路由器上配置通往互联网的默认路由
5、如果内网有服务器要被互联网访问,需要在边界路由器上配置静态NAT或者静态端口映射
6、如果企业分支机构要和企业总部网络夸互联网通信,通常要配置IPsec VPN技术
ACL (访问控制列表) access control list 包过滤机制的基础
ACL是流量识别的一种工具
ACL是一个允许或者拒绝的列表
ACL基于IP包中的信息来标示流量 五元组(源IP地址、目的IP地址、协议、源端口号、目的端口号)
流量被标示后,可以定义不同的动作(permit 或 deny)
ACL能被用在路由器和交换机上
ACL的特点:
1、方向性:分为入方向和出方向 根据数据流的源IP和目的IP来确定
2、顺序性:在编写ACL时候,应该遵循一个先具体后普遍的原则
3、隐含拒绝:最少要有一个允许条目才有意义
4、在接口调用后,ACL只控制经过设备的流量,对于路由器自己产生的流量不生效
ACL的分类:
1、标准ACL 只能限制源IP地址
2、扩展ACL 能限制源IP地址、目的IP地址、协议、源端口号、目的端口号
ACL方向判断:
1、根据书写的ACL先判断数据流的方向
2、以路由器角度看,接收接口为入方向,转出接口为出方向
例如:access-list 3 permit host 192.168.1.20 基于表号的标准的ACL
access-list 3 deny any
access-list 100 permit tcp host 192.168.1.10 host 192.168.3.1 eq telnet 基于表号的扩展的ACL
access-list 100 deny icmp host 192.168.1.10 host 192.168.5.10 echo
access-list 100 deny tcp host 192.168.1.20 host 192.168.3.1 eq telnet
access-list 100 permit ip any any
ip access-list standard test01 标准的命名ACL:test01
deny host 192.168.1.10
deny host 192.168.1.30
permit any
ip access-list extended test02 扩展的命名ACL test02
permit tcp host 192.168.1.10 host 192.168.3.1 eq telnet
deny icmp host 192.168.1.10 host 192.168.5.10 echo
deny tcp host 192.168.1.20 host 192.168.3.1 eq telnet
permit ip any any
line vty 0 4
access-class 3 in 控制可以远程登录设备的主机
interface gigabitEthernet 0/0
ip access-group 2 in/out 在物理接口下调用,达到包过滤的目的
华为设备写ACL:
acl 3000 在系统模式下写ACL
rule 5 permit icmp source 192.168.4.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 icmp-type echo
rule 10 deny icmp source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo
rule 15 permit ip
interface GigabitEthernet0/0/2 在接口下调用ACL
traffic-filter inbound acl 3000
user-interface vty 0 4
acl 3100 inbound 只允许符合ACL 3100的数据可以进入vty线路
NAT:网络地址转换 network address translations
可以转换源地址
可以转换目的地址
可以转换端口号
私网:10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
NAT地址类型:
Inside local:内部局部地址(内网主机的真实私网地址)
Inside global:内部全局地址(指的是内部主机转换后的地址,一般是公网地址)
NAT类型:
静态NAT:一个对一个 双向通信 一般用于内部服务器发布到公网
192.168.1.10 202.106.0.100
例如: ip nat inside source static 192.168.1.10 100.1.1.10
静态端口映射: 一般也是用于将内网服务器发布到公网
192.168.1.10:80 202.106.0.100:80
192.168.1.20:25 202.106.0.100:25
192.168.3.10:21 202.106.0.100:21
192.168.4.10:21 202.106.0.100:2100
例如:ip nat inside source static tcp 192.168.1.10 80 100.1.1.10 80
ip nat inside source static tcp 192.168.2.10 443 100.1.1.10 443
动态转换:多个对多个 只能实现内网访问公网,不能实现公网访问内网 单方向的 用于内网上网用
1、用ACL控制内部主机的范围
2、用NAT地址池控制外部公网地址范围
3、转换表是随机生成的
例如:
1、Standard IP access list 2
10 permit 192.168.2.0 0.0.0.255
20 permit 192.168.3.0 0.0.0.255
2、ip nat pool nat_pool 100.1.1.20 100.1.1.29 netmask 255.255.255.0
3、ip nat inside source list 2 pool nat_pool
PAT:端口多路复用,多个对一个 单方向的 用于内网主机共享上网 常用
1、access-list 3 permit 192.168.1.0 0.0.0.255
2、ip nat inside source list 3 interface gigabitEthernet 0/2 overload
激活NAT:在外部接口:ip nat outside
在内部接口:ip nat inside
show ip nat statistics 查看NAT配置情况
show ip nat translations 查看NAT转换表
华为路由器实现NAT:
1、共享上网
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 permit source 192.168.4.0 0.0.0.255
interface g 0/0/2
nat outbound 2000
2、静态NAT
interface GigabitEthernet0/0/2
nat static enable
nat static global 100.1.1.8 inside 192.168.1.30
3、NAT server
interface GigabitEthernet0/0/2
nat server protocol tcp global 100.1.1.6 80 inside 192.168.1.100 80
nat server protocol tcp global 100.1.1.6 25 inside 192.168.1.200 25