H3C总代理商,华为代理商欢迎您!

全国咨询服务电话

15378180513 

企业新闻

联系我们

客户至上

成都达锐斯科技有限公司
地址:成都市武候区人民南路4段53号嘉云台丙栋7楼

电话:15378180513

联系人:

邮箱:3511891@qq.com

官网:http://www.cdh3c.com

企业新闻

当前位置: 首页>>企业新闻

cisco acl及nat

   一、ACL

  1、标准访问控制

  (route-config)#access-list {1-99} [deny|permit] {ip-address} {wildcard} //标淮访问控制范围为1-99. wildcard表示反掩码.缺省为permit

  (route-config)#interface s 0

  (route-config-interface)#ip access-group 1 in //把 访问控制列表1,应用到接口 s0的进口方向。

  2、扩展访问控制

  (route-config)#access-list {100-199} [permit|deny] {protocl} {source-ip wildcard} {destination-ip wildcard} {operate} [destination-port] [log] [option]

  //扩展访问列表序号范围100-199 。 protocl表示协议名称,如:IP,tcp。 source-ip指源地址和反掩 码, dextination-ip是指目的地址和反掩码。

  operate是指操作符,如:eq表示“等于”,lt表示“小于",neq表示非等于。destination-port,表示端口号。

  3、命名访问规则

  (1) 标准命名访问控制列表

  ip access-list standard {name}

  permit 192.168.9.1 0.0.0.0

  deny host 192.168.9.2

  再在接口中应用控制列表名即可。

  (2)扩展的命名访问列表

  ip access-list extended {name}

  permit ip any 192.168.1.0 0.0.0.255 eq www

  deny ip any any

  访问规则的处理:

  自上而下的处理过程

  添加到某访问控制列表的规则将永远被应用在列表的较后,这意味着不可能改变已有列表的功能。如要改变就要删除已存在的列表,再创建一个新的。

  将扩展访问列表尽量放在靠近过滤的位置,即源接口位置。 标准访问控制列表放在靠近目的的位置。

  尽量将具本的规则放在不具体规则的前面

  访问列表,应用于接口才生效。

  4、基于时间的访问列表

  (route-config)#time-range {Name} //定义时间名称

  absolute {start time date} {end time date}

  periodic {days-of-the week [hh:mm] } to {days-of-the week [hh:mm] }

  只能有一个absolute语句,偍 可以有多条periodic语句。

  二、NAT

  1、静态地址映射,一对一

  (route-config)#ip nat inside source static {local-ip} {global-ip} //定义静态映射,local-ip是内部IP地址, global-ip是全局外部IP地址。

  (route-config)#interface fastethernet 0

  (route-config-interface)#ip nat inside //把 内部接口设为inside

  (route-config)#interface s 0

  (route-config-interface)#ip nat outside //把外部接口设为inside

  2、动态地址转换 多对多

  (route-config)#ip nat pool {pool-name} {start-ip} {end-ip} netmask {netmask} //设置一个全局地址池

  (route-config)#access-list {access-list-number} {permit|deny} {local-ip-address} //用一个标准访问规则定义哪些内网IP地址可以进行NAT转换

  (route-config)#ip nat inside source list {access-list-number} pool {pool-name} //把规定的内部地址转换为上面定义的全局地址

  (route-config)#interface fastethernet 0

  (route-config-interface)#ip nat inside //把 内部接口设为inside

  (route-config)#interface s 0

  (route-config-interface)#ip nat outside //把外部接口设为inside

  3、一对多复用地址转换,即一个全局地址,对多个内部地址

  (route-config)#ip nat pool {pool-name} {start-ip} {end-ip} netmask {netmask} //设置一个全局地址池,因为只有一个全局地址,所以这里的start-ip 和end-ip是一个IP地址。

  (route-config)#access-list {access-list-number} {permit|deny} {local-ip-address} //用一个标准访问规则定义哪些内网IP地址可以进行NAT转换

  (route-config)#ip nat inside source list {access-list-number} pool {pool-name} overload //把规定的内部地址转换为上面定义的全局地址,此处多一个overload关键字,表示复用。

  (route-config)#interface fastethernet 0

  (route-config-interface)#ip nat inside //把 内部接口设为inside

  (route-config)#interface s 0

  (route-config-interface)#ip nat outside //把外部接口设为inside

  希望我们成都华为交换机官网的相关分享可以帮助到您!

友情链接

新华三集团 思科

公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼

服务电话

HOTTELEPHONE
  • 15378180513
公司简介
产品展示
H3C交换机
H3C路由器
思科交换机
思科路由器
华为交换机
企业新闻
技术文档
  • 扫一扫,加微信

Copyright © 2023 达锐斯科技 川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持: 网站模板