| ACL配置(ACL存在于路由器、代理服务器、WEB服务器、防火墙等设备或软件) | |||
| 标准访问控制列表: | access-list 1~99 permit或deny 源IP地址 源IP地址通配符 any 通配符:0为必须匹配,1为不强制匹配。如果省略则代表默认值0.0.0.0 | ||
| 允许源IP地址为202.1.2.3的数据包通过。如果不匹配则检查下一条语句 | access-list 1 permit 202.1.2.3 | ||
| 允许网络202.1.2.0的数据包通过 | access-list 2 permit 202.1.2.3 0.0.0.255 | ||
| 禁止源IP地址为202.1.2.3的数据包通过 | access-list 3 deny 202.1.2.3 | ||
| 禁止源IP地址为202.1.2.3的数据包通过,但允许其他任何IP数据包都通过 | access-list 4 deny 202.1.2.3 | ||
| access-list 4 permit any | |||
| 扩展访问控制列表: | access-list 100~199 permit或deny 源IP地址 源IP地址通配符 any 目的IP地址 目的IP地址通配符 any 协议指定选项 log | ||
| 禁止任何IP访问11.0.0.0/8网络的数据包,允许其他的访问 | access-list 100 deny ip any 11.0.0.0 0.255.255.255 | ||
| access-list 100 permit ip any any | |||
| 允许任何IP访问web服务器10.64.0.2 | access-list 101 permit tcp any host 10.64.0.2 eq www | ||
| 允许任何IP访问ftp服务器10.64.0.2 | access-list 102 permit tcp any host 10.64.0.2 eq ftp | ||
| 允许以smtp协议访问10.64.0.2 | access-list 103 permit tcp any host 10.64.0.2 eq smtp | ||
| NAT配置(NAT存在于路由器、防火墙、NAT设备、操作系统、代理服务器软件) | |||
| 描述 | 提示符 | 命令 | |
| 静态地址转换 | 手动在内部地址和外部地址之间建立静态转换 | ip nat inside source static 内部地址 外部地址 | |
| 进入以太网端口0 | interface ethernet 0 | ||
| 设置该端口IP地址 | ip address IP地址 子网掩码 | ||
| 说明该端口是内网接口 | ip nat inside | ||
| 进入广域网端口0 | interface serial 0 | ||
| 设置该端口IP地址 | ip address IP地址 子网掩码 | ||
| 说明该端口是外网接口 | ip nat outside | ||
| 动态地址转换 | 设置合法地址池,名为ABC,地址范围192.1.1.2-192.1.1.10 | ip nat pool ABC 192.1.1.2 192.1.1.10 netmask 255.255.255.0 | |
| 对标准访问列表2中设置的本地地址,应用ABC池进行动态地址转换 | ip nat inside source list 2 pool ABC | ||
| 进入以太网端口0 | interface ethernet 0 | ||
| 设置该端口IP地址 | ip address IP地址 子网掩码 | ||
| 说明该端口是内网接口 | ip nat inside | ||
| 进入广域网端口0 | interface serial 0 | ||
| 设置该端口IP地址 | ip address IP地址 子网掩码 | ||
| 说明该端口是外网接口 | ip nat outside | ||
| 复用动态地址转换 | 同动态地址转换,只有应用转换时增加overload | ip nat insida source lost 2 pool A overload | |
最后修改:2020-01-04 19:51:53
© 著作权归作者所有
如果觉得我的文章对你有用,请随意赞赏
扫一扫支付
发表评论