访问控制列表(Access Control List)
| 基本ACL | 2000-2999 | 源IP地址等 |
| 高级ACL | 3000-3999 | 源IP地址、目的IP地址、源端口、目的端口等 |
| 二层ACL | 4000-4999 | 源MAC地址、目的MAC地址、以太帧协议类型等 |
将匹配最多的命令放在上面(默认步长为5)
acl 2000 rule deny source 192.168.1.0 0.0.0.255 int g0/0/0 traffic-filter outbound acl 2000 dis acl 2000
acl 3000 rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0 rule permit ip int g0/0/0 traffic-filter outbound acl 3000
NAT(Network address Translation)可以延缓IP地址枯竭,设备会在网关上会创建一个NAT映射表
int g0/0/1 ip address 192.168.1.254 24 interface serial1/0/0 ip address 200.10.10.2 24 #私有地址和公有地址一对一转换 nat static global 202.10.10.1 inside 192.168.1.1 nat static global 202.10.10.2 inside 192.168.1.2
#将一堆私有地址转换为一个公有地址;
nat address-group 1 200.10.10.1 200.10.10.200 acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 quit #no-pat,表示只转换数据报文的地址而不转换端口角色。 interface serial 1/0/0 nat outbound 2000 address-grou[ 1 nopat
| 认证 | Authentication |
| 授权 | Authorization |
| 审计 | Accounting |
三种验证方式
·不认证
·本地认证
·远端认证
解决两个问题:
(1).内网的客户端不能访问内网服务器的网站;
(2).内网客户机想通过nat出口出去,再回来访问内网的服务器。
原文:https://www.cnblogs.com/zjm6159/p/14283367.html