第八章 使用问控制列表.ppt

8.4.1 过滤到路由器的虚拟终端(vty)访问 五个虚拟通道 (0 到 4) 过滤哪些地址能登录到路由器上 过滤路由器能登录到哪些设备上 0 1 2 3 4 虚拟端口 (vty 0到 4) 物理端口 e0 (远程登录) 完全控制端口（直连的）) 完全控制 e0 8.4.1 虚拟终端的line命令 进入远程访问的线模式 应用访问控制列表限制进入或者出去方向 access-class access-list-number {in|out} line vty#{vty# | vty-range} Router(config)# Router(config-line)# 8.4.2 虚拟终端访问示例 只允许网段的主机远程登录到路由器上 access-list 12 permit 55 ! line vty 0 4 access-class 12 in 8.5 使用名称IP访问列表 Router(config)# ip access-list { standard | extended }name Router(config {std- | ext-}nacl)# { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } Router(config-if)# ip access-group name { in | out } 适用于 Cisco IOS 11.2版本或者以后的 允许或者禁止的声明没有预先约定说明的数字 “no”是从访问控制列表删除具体的某一项检验 将名字的访问控制列表应用到端口上 8.6 验证访问控制列表 wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent text ommitted 8.6 验证访问控制列表（续） wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-data wg_ro_a#show access-lists {access-list number} wg_ro_a#show {protocol} access-list {access-list number} 8.7 用NAT来缩放网络 8.7.1 NAT技术的定义 NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。 8.7.2 NAT技术的基本原理和类型 在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址用合法的IP地址来替换。 NAT有三种类型： 静态NAT(Static NAT) 动态地址NAT(Pooled NAT) 网络地址端口转换PAT 8.7.4 NAT的配置 1、静态转换设置： ip