2020-09-23
| 标准ACL命令格 式 |
access-list 列表号 permit|deny 源IP 反向掩码 |
acl <acl-number> [match-order config|auto] rule [normal|special]{permit|deny} [source source-addr source-wildcard|any] |
|||
| 扩展ACL配置 |
access-list 列表号 permit|deny 协议 源IP 反向掩码 目的IP 反向掩码 eq 端口号 |
acl <acl-number> [match-order config|auto] rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} eq 服务名 |
|||
| 静态nat |
(1) 为内外部接口配IP 并**; (2) 在接口上启用NAT ; 内部接口:ip nat inside 外部接口:ip nat outside (3) 建立静态地址转换 (config)#ip nat inside source static 私有IP 公网IP |
interface 接口 nat server global <ip> [port] inside <ip> port [protocol] |
|||
| 动态NAT |
(1) 为内外部接口配IP 并**; (2) 在接口上启用NAT ; 内部接口:ip nat inside 外部接口:ip nat outside (3) 定义内网允许访问外网的ACL (config)#access-list 列表号 permit 源IP 反向掩码 (4) 定义合法IP 地址池 (config)#ip nat pool 地址池名 公网起始IP 公网终止IP netmask 掩码 (5) 实现地址转换 (config)#ip nat inside source list 列表号 pool 地址池名 |
(1) 建立地址池 nat address-group 公网起始IP 公网终止IP pool 1 (2) 定义内网允许访问外网的ACL acl 列表号 rule permit source 源IP 反向掩码 rule deny source any (3) 实现地址转换 int 公网接口 nat outbound 列表号address-group pool 1
|
|||
| 显示vlan 信息 |
show vlan |
display vlan |
|||
| 进入vlan 模式 |
interface vlan vlan 号 |
interface vlan vlan 号 |
|||
| VLAN 中增加 端口 |
|
port e0/1 port e0/2 to e0/4 |
|
||
| 当前端口加入 到VLAN |
switchport access vlan vlan 号 |
port access vlan vlan 号 |
|
||
| 设置端口工作 模式 |
switchport mode trunk|access|dynamic |
port link-type trunk|access|hybrid |
|
||
| 设trunk 允许的 VLAN |
switchport trunk allowed vlan remove|add ID |
port trunk permit vlan ID|All |
|
||
静态NAT(主要用于外网访问内网服务器)
ip nat inside source static 192.168.1.1 100.1.1.1 //外网地址100.1.1.1转换为内网地址192.168.1.1 ip nat inside source static tcp 192.168.1.1 80 100.1.1.1 80 int f0/0 //内网接口下 ip nat inside int f0/1 //外网接口下 ip nat outside
动态NAT(先设置地址池,然后匹配ACL)
ip nat pool AAA 100.1.1.1 100.1.1.10 netmask 255.255.255.0 //注意是外网的地址池 access-list 1 permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段的地址访问 int f0/0 //内网接口下 ip nat inside int f0/1 //外网接口下 ip nat outside ip nat inside source access-list 1 pool AAA //执行NAT
PNAT(基于接口)
access-list 1 permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段的地址访问 int f0/0 //内网接口下 ip nat inside int f0/1 //外网接口下 ip nat outside ip nat inside source list 1 int f1/0 overload //f1/0为外网接口
静态NAT
int f1/0 //直接在外网接口下配置 nat static global 100.1.1.1 192.168.1.1 //不安全 nat server protocol tcp global 100.1.1.1 80192.168.1.1 80 //较为安全
动态NAT
nat address-group 1 100.1.1.1 100.1.1.10 //先建地址池 acl 2000 //匹配ACL rule 10 per source 192.168.1.0 0.0.0.255 int f1/0 //然后在外网接口下执行NAT nat outbound 2000 address-group 1 no-pat
PNAT(基于接口的)
acl 2000 //匹配ACL rule 10 per source 192.168.1.0 0.0.0.255 int f1/0 //然后在外网接口下执行NAT nat outbound 2000