高级ACL
- 基本 ACL : 源IP地址 , 2000 ~ 2999
- 高级ACL : 基于 源IP地址 , 目的IP地址 , 源端口 , 目的端口 , 协议 过滤数据包
- 列表号是 3000 ~ 3999
- 在相同接口应用ACL时 , 同一方向只能一次应用一个列表
配置高级ACL
-
acl 3000 # 创建/进入 ACL 3000
-
rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80
# 禁止 2.2/0 到 1.1/0 的 tcp 80端口 的访问服务
-
in g0/0/1 #进入距离2.2比较近的接口
-
traffic-filter inbound acl 3000 # 在端口接入数据时过滤 ACL3000
NAT
-
Network Address Translation , 网络地址转换
-
通过将内部网络的私有IP 地址转换 成全球唯一的公网IP地址 , 使内部网络可以连接到互联网
-
两台设备之间需要
- 源MAC , 目标MAC #第二层 数据链路 ----- 交换机
- 源IP , 目标IP #第三层 网络层 ----- 路由器/三层交换机
- 源端口 , 目标端口 # 第四层 传输层 ----- TCP/UDP
-
私有IP地址分类 : 谁都可以重复使用的IP地址
-
A类 10.0.0.0 ~ 10.255.255.255
-
B类 172.16.0.0 ~ 172.31.255.255
-
C类 192.168.0.0 ~ 192.168.255.255
-
-
NAT的优点 :
-
节省公有合法IP地址
-
处理地址重叠
-
提高安全
-
-
NAT的实现方式 :
- 静态转换
- Easy IP
静态NAT
-
静态转换是指将内部网络的私有地址转换为公有地址时 . IP地址的对应关系是确定的
-
静态转换是一对一的转换
-
静态转换是双向的
静态NAT配置
-
in gi 0/0/0 #进入对外网的接口
-
nat static global 100.0.0.2 inside 192.168.2.1
# 使用静态nat技术,将内部的2.1与外部的公网地址100.0.0.2进行相互转换
-
dis this # 查看
Easy IP
-
Easy IP允许多个内部地址使用一个公网ip
-
Easy IP 是多对一的转换
-
只能单向通信
Easy IP 配置 (配合ACL)
-
undo nat static global 100.0.0.2 inside 192.168.2.1 #删除静态NAT
-
acl 2000 # 通过ACL定义允许通过的访问数据与设备
-
rule permit source any # 允许所有设备/数据通过 , any可换其他IP地址
-
in gi 0/0/0 # 进入外网接口
-
nat outbound 2000
# 应用 nat ( esay IP方式 ) , 把从接口输出的数据使用ACL 2000 规则 ----- 所有输出设备/数据的地址均等于接口地址
同IP地址 , 但不同端口号 , 可以区分不同终端不同业务不同数据.
三层交换配置VRPR
- 网关存在的问题
- 单网关 : 当网关路由器出现故障时 , 本网段内以该设备为网关的主机都不能通信
- 多网关 : 网关间IP地址冲突 , 主机会频繁切换网络出口
- 什么是VRRP
- VRPR是虚拟路由冗余协议
- VRPR能在不改变网组的情况下 , 将多台路由器虚拟成一个虚拟路由器 , 通过配置虚拟路由器的IP地址为默认网关 , 实现网关的备份
- VRPR的组成员
- 主路由器**( Master )**
- 配分路由器**( Backup )**
- 虚拟路由器**( Virtual )**
VRPR配置
- 配置步骤
- 配置为 VRPR 的成员
- 配置 VRPR 的优先级 ( 默认 100 )
- 查看 VRPR 信息
- ospf # 给路由器和三层交换机配置ospf
- area 0
- network 192.168.2.0 0.0.0.255
- in vlan 1 #vrrp需要在接口中配置,进入vlan接口
- vrrp vrid 1 virtual-ip 192.168.1.254 #开启vrrp功能,组号是1,虚拟设备的ip是1.254
- vrrp vrid 1 priority 105 #修改vrrp优先级,默认值是100,越高越优先成为主
- display vrrp brief #分别在两台三层交换机查看vrrp状态,看到一台是Master一台是backup即可