一�、ACL
1、標準訪問控制
(route-config)#access-list {1-99} [deny|permit] {ip-address} {wildcard} //標淮訪問控制范圍為1-99. wildcard表示反掩碼.缺省為permit
(route-config)#interface s 0
(route-config-interface)#ip access-group 1 in //把 訪問控制列表1�,應用到接口 s0的進口方向����。
2��、擴展訪問控制
(route-config)#access-list {100-199} [permit|deny] {protocl} {source-ip wildcard} {destination-ip wildcard} {operate} [destination-port] [log] [option]
//擴展訪問列表序號范圍100-199 ��。 protocl表示協(xié)議名稱�,如:IP,tcp���。 source-ip指源地址和反掩 碼�����, dextination-ip是指目的地址和反掩碼�。
operate是指操作符,如:eq表示“等于”,lt表示“小于",neq表示非等于�����。destination-port����,表示端口號。
3���、命名訪問規(guī)則
(1) 標準命名訪問控制列表
ip access-list standard {name}
permit 192.168.9.1 0.0.0.0
deny host 192.168.9.2
再在接口中應用控制列表名即可��。
(2)擴展的命名訪問列表
ip access-list extended {name}
permit ip any 192.168.1.0 0.0.0.255 eq www
deny ip any any
訪問規(guī)則的處理:
自上而下的處理過程
添加到某訪問控制列表的規(guī)則將永遠被應用在列表的較后���,這意味著不可能改變已有列表的功能。如要改變就要刪除已存在的列表����,再創(chuàng)建一個新的。
將擴展訪問列表盡量放在靠近過濾的位置�����,即源接口位置。 標準訪問控制列表放在靠近目的的位置�。
盡量將具本的規(guī)則放在不具體規(guī)則的前面
訪問列表,應用于接口才生效�����。
4�����、基于時間的訪問列表
(route-config)#time-range {Name} //定義時間名稱
absolute {start time date} {end time date}
periodic {days-of-the week [hh:mm] } to {days-of-the week [hh:mm] }
只能有一個absolute語句���,偍 可以有多條periodic語句。
二�、NAT
1、靜態(tài)地址映射��,一對一
(route-config)#ip nat inside source static {local-ip} {global-ip} //定義靜態(tài)映射��,local-ip是內(nèi)部IP地址��, global-ip是全局外部IP地址�����。
(route-config)#interface fastethernet 0
(route-config-interface)#ip nat inside //把 內(nèi)部接口設為inside
(route-config)#interface s 0
(route-config-interface)#ip nat outside //把外部接口設為inside
2、動態(tài)地址轉(zhuǎn)換 多對多
(route-config)#ip nat pool {pool-name} {start-ip} {end-ip} netmask {netmask} //設置一個全局地址池
(route-config)#access-list {access-list-number} {permit|deny} {local-ip-address} //用一個標準訪問規(guī)則定義哪些內(nèi)網(wǎng)IP地址可以進行NAT轉(zhuǎn)換
(route-config)#ip nat inside source list {access-list-number} pool {pool-name} //把規(guī)定的內(nèi)部地址轉(zhuǎn)換為上面定義的全局地址
(route-config)#interface fastethernet 0
(route-config-interface)#ip nat inside //把 內(nèi)部接口設為inside
(route-config)#interface s 0
(route-config-interface)#ip nat outside //把外部接口設為inside
3�����、一對多復用地址轉(zhuǎn)換�����,即一個全局地址��,對多個內(nèi)部地址
(route-config)#ip nat pool {pool-name} {start-ip} {end-ip} netmask {netmask} //設置一個全局地址池���,因為只有一個全局地址���,所以這里的start-ip 和end-ip是一個IP地址。
(route-config)#access-list {access-list-number} {permit|deny} {local-ip-address} //用一個標準訪問規(guī)則定義哪些內(nèi)網(wǎng)IP地址可以進行NAT轉(zhuǎn)換
(route-config)#ip nat inside source list {access-list-number} pool {pool-name} overload //把規(guī)定的內(nèi)部地址轉(zhuǎn)換為上面定義的全局地址,此處多一個overload關鍵字��,表示復用���。
(route-config)#interface fastethernet 0
(route-config-interface)#ip nat inside //把 內(nèi)部接口設為inside
(route-config)#interface s 0
(route-config-interface)#ip nat outside //把外部接口設為inside
希望我們成都華為交換機官網(wǎng)的相關分享可以幫助到您!
