一、NAT(网络地址转换)
即公有地址转换为私有地址
私有地址段(非公网地址,即公网不识别)
A 10.0.0.0 10.255.255.255
B 172.16.0.0 172.31.255.255
C 192.168.0.0 192.168.255.255
NAT转换的方式:
一对一转换(静态NAT):即IP对IP(用于服务器挂载公网)
多对一转换(动态NAT):即IP集群对公网的借口(用于用户宽带上网)
NAT基本语法:
ip nat inside(内网) source(源) 源的方式 指向外网的方式(接口或IP)
源的方式一般有两个:ACL列表和static静态IP地址
静态NAT指向外网的方式一般是IP
动态NAT指向外网的方式一般是接口
做NAT转换的一般步骤(思路):
针对静态NAT: ip nat inside source static 内网地址 外网地址
进入处于外网的接口:ip nat outside
进入处于内网的借口:ip nat inside
针对动态NAT: access-list 10 permit IP地址(创建一条允许访问的ACL记录)
ip nat inside source list 10 int f0/1(指向所处外网的接口)
进入处于外网的接口:ip nat outside
进入处于内网的接口:ip nat inside
情景实例:
要求:PC能够访问服务器上的网页(服务器已开启HTTP服务)
详细配置:
1. 配置计算机和服务器的IP地址
2. 路由器各个接口配上要求的IP地址(代码不做展示)
3. R2路由器做静态NAT
ip nat inside source static 10.1.1.2 111.1.1.2
int f0/0(外网接口)
ip nat outside
int f0/1(内网接口)
ip nat inside
4. R1路由器做动态NAT
access-list 10 permit 10.1.1.1
access-list 10 permit 10.1.1.2
ip nat inside source list 10 int f0/1
int f0/0(内网接口)
ip nat inside
int f0/1(外网接口)
ip nat outside
验证:PC访问111.1.1.2即可(因为做静态NAT时服务器的内网IP转换到了公网的指定IP)
二、VLAN与Trunk
VLAN(虚拟局域网):
即由交换机组成一个网络,默认情况下交换机的所有接口都在一个VLAN中(即VLAN1)
将交换机的接口从原来的VLAN1迁移到其他VLAN内,称作VLAN的划分
当终端设备连接不同VLAN时,相当于网络被逻辑层面分割
查看VLAN表:show vlan brief
创建VLAN:vlan XX(XX代表VLAN号)
将接口划入相应的VLAN:
进入端口后:switchport mode access
Switchport access vlan xx
Trunk(中继):
即允许多个VLAN经过交换机的接口,其直接目的是为了使交换机做级联
情景实例:
下面我们就通过这个实验拓扑来直观的讲下VLAN和trunk
(一张图搞懂VLAN和Trunk)
如图所示:
PC0一直到PC7共八台主机,其中PC0到PC3四台主机连到了交换机SW1中,其余四台连到了交换机SW2中,八台主机都设置好了IP地址,且保证在一个网段里。
由于我们对交换机未作任何设置,并且八台主机都在一个网段,那么我们可以保证八台主机是可以相互通信的(VLAN1)
实验一:按照拓扑右上角的信息将每台主机划分到相应的VLAN中
首先对SW1进行设置:
(首先创建VLAN)
vlan 10
vlan 20
进入主机联入交换机的相应接口,做如下设置:
int f0/1;int f0/2;int f0/3;int f0/4 //(或者用简便指令:int range f0/1-4)
switchport mode access
switchport access vlan 10;switchport access vlan 20
交换机SW2的指令和SW1几乎一致!
完成实验一后,我们发现:
SW1中连接的PC0和PC1;PC2和PC3能互相通信(SW2也一样)
但PC0,PC1却不能与PC2,PC3互相通信
虚拟局域网(VLAN)起到了作用,效果拔群!
同时我们发现SW1下的VLAN10,VLAN20还是不能与SW2下的VLAN10,VLAN20进行通信
那么我怎么样才能使之相互通信呢?
这就要用到Trunk中继技术了
实验二:SW1与SW2设置级联
SW1和SW2用交叉线连接(其实现在的技术不在乎用直通线或交叉线了,因为现在的网卡都自带了自适应的功能),然后每台交换机进入级联接口输入以下指令:
switchport mode trunk
完成实验二后,我们发现:
SW1中的VLAN10能和SW2中的VLAN10进行通信(VLAN20同理)
Trunk起到了作用,效果依旧拔群!(笑)
特典:ACL简介
ACL访问控制列表的主要功能是匹配感兴趣的数据流(主要是针对IP地址)和匹配路由信息(IP),其类型有两种:标准和扩展(访问列表所对应的序号分别为1~99及100~199),两种ACL的访问动作都为deny和permit(拒绝和允许)。
ACL在默认的情况下,其内容都属于“白名单”模式,即默认所有的ACL表最后的语句都自带了deny all语句。
标准语法:
1. access-list (标准ACL)
命令格式: access-list 访问控制列表序号 访问动作 {source [通配符掩码] | any}
其中: 控制列表序号为1~99(标准ACL)
访问动作:permit和deny
source指明了该条控制列表规则应用的源IP地址
通配符源码:即反掩码(以后另开一篇文章好好讲下)
如果在末尾加上参数any,说明此时所有的地址都是匹配这条ACL的
2. access-list (扩展ACL)
命令格式: access-list 访问控制列表序号 访问动作 所使用的协议 {source [通配符掩码] destination [通配符掩码] | any} eq 端口号(或服务名)
其中: 控制列表序号为100~199(扩展ACL)
访问动作:permit和deny
source指明了该条控制列表规则应用的源IP地址
destination指明了该条控制列表规则应用的目标IP地址
3. ip access-group
命令格式:ip access-group 控制列表序号 针对流量点
其中: 控制列表序号是之前创建的,我们进入接口后要进行调用
针对流量点有两个:in和on(即入口和出口)
下面,我们通过几个实例来简单介绍下ACL的应用:
实例:
1. 不允许1.1.1.1访问服务器(标准ACL):
acess-list 10 permit any
access-list 10 deny 1.1.1.1 //策略实施
int f0/0
ip access-group 9 in //对接口进行指令生效
2. 1.1.1.2访问服务器,只能http访问,其他方式无效(扩展ACL):
access-list 100 permit tcp host 1.1.1.2 host 2.2.2.1 eq 80
//80端口是HTTP的服务端口,tcp是HTTP的应用服务
int f0/1
ip access-group 100 on