Show controllers s 1//查看是DCE还是DTE,如果是DCE需要配置时钟 可以在接口模式下直接配其他接口: R1(config)#int lo0
R1(config-if)#ip add 16.5.5.1 255.255.255.252 R1(config-if)#int lo1
R1(config-if)#ip add 16.6.6.1 255.255.255.0 R1(config-if)#int lo2
R1(config-if)#ip add 172.16.1.1 255.255.255.128
Show ip interface brief
同步消息输出: R1(config)#line con
R1(config)#line console 0 R1(config-line)#logg
R1(config-line)#logging sys R1(config-line)#logging sys Translating \"sys\"
^ % Invalid input detected at '^' marker.
R1(config-line)#loggin R1(config-line)#logging sy
R1(config-line)#logging synchronous R1(config-line)#exit R1(config)#line vty 0 3 R1(config-line)#logg
R1(config-line)#logging sy
R1(config-line)#logging synchronous R1(config-line)#end
配置OSPF的network的掩码需要配置反掩码,但是Cisco路由器输入掩码命令也能成功
R1#sh ip route ospf 1
R1#sh ip route ospf 2
ACL
IP访问控制列表
通过访问控制列表管理网络的流量
基于分组过滤技术处理和控制网络访问流量 IP分组包含的信息: 源IP地址
目标IP地址 Protocol协议号 源端口号 目标端口号 IP ACL
标准IP ACL 扩展IP ACL
华为:基本ACL、高级ACL、接口ACL 标准ACL
检查IP分组的源地址,通常允许或者拒绝一个完整的协议组 通过数字范围定义访问列表类型。1-99为Cisco标准ACL 扩展ACL
检查IP分组的源和目标地址,源和目标端口号以及协议号,通常允许或者拒绝一个详
细的协议
通过数字范围定义访问列表类型。100-199为Cisco扩展ACL
另外还有一些扩展号:
终端发送数据包到网关,包含网关的MAC地址;路由器查看目标MAC地址是否是自己接收接口的MAC地址,不是,丢弃;是,才检查三层信息 输出型访问列表OUT 1. 路由器接收IP分组
2. 检查目标地址是否存在于路由表中
a) 存在,路由器将分组转发到输出接口 b) 不存在,路由器将分组丢弃 3. 检查输出接口是否放置访问列表
a) 没有放置访问列表,路由器直接转发该分组
b) 放置访问列表,路由器检查访问列表中的描述,作出允许或者拒绝的决定 访问列表检查顺序
1. 先到先匹配(Cisco支持、华为支持) 2. 深度优先(华为支持)
描述越详细的部分放在前面,越大的放在后面 深度优先检查最详细的,见下面例子:
如果是华为路由器会匹配第二条,因为第二条更
详细
建议配置Cisco的ACL在ACL条数比较多的情况下,先写在记事本上,否则一旦删除一条,所有的同一编号的ACL都会删除 Show access-lists
ACL使用通配符掩码(反向掩码):0要检查,1可以忽略 172.16.1.0 0.0.0.255
172.16.1.1 0.0.0.0=Host 172.16.1.1
0.0.0.0 255.255.255.255=Any
如果要检查172.16.16.0 255.255.255.0到172.16.31.0 255.255.255.0 172.16.16.0 0.0.15.255 配置ACL
1. 使用什么类型的ACL(标准/扩展) 2. 如何配置ACL中的检查条件 3. ACL放在哪个接口
4. ACL放在接口的哪个方向(in/out) Show run int s1
要有一条permit any,应用前要加
上ip
1. 标准ACL尽量放置在靠近目标设备的接口上
2. 扩展ACL尽量放置在靠近源设备的接口上(被丢弃得早,不浪费链路带宽) 路由器作为源设备时如果没有指定源地址,默认指定出接口的地址。ACL指的是出路由器的流量,如果应用在出接口、out方向,这时路由器就是源设备,路由器来不及过滤。所以ACL最好放置在靠近源设备的接口上,但不是源设备的接口上,即离源设备最近的路由器上
配置IP标准ACL
Router(config)#access-list [ number ] [ permit | deny ] [ source-address ] [ wird card bit ] Router(config-if)#ip access-group [ number ] [ in | out ]
关键字: eq = gt >
lt < neq !=
range 1 1023
//不允许请求
NAT
1. NAT网络地址转换
2. VLSM可变长度子网掩码 3. CIDR无类域间路由
路由聚合只能聚合到一个有类,如:
OSPF支持CIDR
C类-192.0.0.0 255.0.0.0,通过CIDR可以将多个C类聚合到A类等等
,只在本地网络有效
Inside-Global-Address:内部全局地址,可以在Internet中使用 只有使用NAT,路由器才转换源地址
NAT网络地址转换
转换映射关系:[ Inside-Local-Address ] to [ Inside-Global-Address ] PAT端口地址转换
转换映射关系:[ Inside-Local-Address:port-number ] to [ Inside-Global-Address:port-number ] PAT可以使用超载
1. 配置静态NAT
Router(config)#Ip nat inside source static [ local-address ][ global-address ] Router(config)#Show ip nat translations//静态NAT可以直接看到映射关系 Router(config)#int s1
Router(config-if)#ip nat outside Router(config)#int loopback1 Router(config-if)#ip nat inside 静态不能Overload(超载)
2. 配置动态NAT(没有使用到端口)
Router(config)#ip nat pool [ name ] [ start-address ] [ end-address ] netmask [ netmask ] Router(config)#ip nat pool test 1.1.1.1 1.1.1.10 netmask prefix-length 24
Router(config)#access-list 101 permit 172.16.1.1 0.0.0.0//定义一个标准访问列表允许哪些内部本地地址被转换
Router(config)#ip nat inside source list 101 pool [ name ]//将ACL和NAT对应在一起 Router(config)#int s1
Router(config-if)#ip nat outside Router(config)#int loopback1 Router(config-if)#ip nat inside
Show ip nat translation//无法直接看到映射关系,需要网络中有动作 删除NAT,直接删除映射需要24小时,不能直接no删除 Router#Clear ip nat translation *
Router(config)#No ip nat inside translation 3. 配置超载
每10s清空一次
无须pool池,超载一个外部全局地址
三明OA系统NAT样例:
4. 配置内部服务映射
基于NAT/PAT转换后的地址的服务,如对端ping的Reply
己方路由器出去做了172.16.1.1NAT成1.1.1.1,当己方路由器收到对方发送的1.1.1.1的报文,查找转换表(show ip nat translations)和路由表(show ip route),没有则丢弃
这样能保证转换表或路由表有1.1.1.1的路由
只开放23端口
这时ping不通,因为只映射了telnet服务
Router(config)#ip nat inside source static [ protocol ] [ local-address ] [ local-port ] [ global-address ] [ global-port ] Router(config-if)#ip nat inside Router(config-if)#ip nat outside
Debug ip nat
排错:
验证NAT
Show ip nat translations Show ip route
