1.ACL(访问控制列表)
分类
基本ACL——编号2000~2999:仅使用报文的源IP地址,分片信息和生效时间来定义规则
高级ACL——编号3000~3999:可使用源,目的IP,IP协议类型,TCP/UDP,源,目的端口号,生效时间来定义规则
二次ACL——编号4000~4999:使用以太网帧头(源,目的MAC地址,二层协议类型等)定义规则
用户自定义——编号5000~5999:报文头,偏移位置,字符串掩码和用户自定义字符串定义规则
用户ACL——编号6000~6999:源,目的IP,IP协议类型,TCP/UDP定义规则
ACL组成:rule XX permit/deny 匹配项
调用访问:对应接口以及反向调用,inbound(入接口),outbound(出接口)
配置命令:
acl number 2000
rule 5 deny /permit soure IP 通配符
acl number 3000
rule 5 deny /permit soure IP destination IP
traffic-filter inbound/outbound acl 2000 //接口下调用
2.NAT
NAT(Network Address Translation,网络地址转换)
分类:
静态NAT:一对一转化
动态NAT:地址池转化,具备自动分配能力
NAPT:基于动态NAT的端口转化
Easy:使用出接口的地址进行端口转化
NAT Server:基于静态NAT的端口绑定
配置:
静态:
接口下
nat static global 外网IP inside 内网IP
动态:
创建ACL 规定可转化的内网地址
acl number 2000
rule permit soure any
创建nat组
nat address-group 1 地址池范围
接口下调用
nat outbound 2000 address-goup 1 no-pat //no-pat 去掉就是NAPT
Easy-IP:
接口下
nat outbound 2000 //调用nat与acl 2000 做接口绑定
NAT server:
接口下
nat server 协议类型(可选) global 外网地址 端口号(可选) inside 内网地址 端口号(可选)