回顾：

1、DHCP:DHCP报文 discover offer request ack

IP地址续租：50% 单播request 87.5%广播request

dhcp relay servert-ip 192.168.20.20(192.168.20.20为DHCP服务器地址，非中继设备地址，中继收到discovert广播报文后，重新封装，以单播方式转给DHCP服务器)

如果客户端主机自动获取IP地址失败，会启用备用IP地址，备用的专用IP地址：169.254.0.0-169.254.255.255

2、VRRP 工作在网络层协议号112

通告报文发送的周期时间：默认情况下是1秒

通告报文发送的目的地址是组播地址：224.0.0.18

3、ACL访问控制列表

是一个包含了多个“规则”的列表，不同规则通过 “规则号”进行区分

每个“规则”都包含：动作+条件两部分内容

动作分为：允许（permit）和拒绝（deny）

规则号范围：0～4294967294

4、验证：

1）查看acl调用信息

接前一实验

拓扑：

[R1]display traffic-filter applied-record //查看acl调用信息

[R1]acl 2001

[R1-acl-basic-2001]rule 10 deny source 192.168.1.2 0.0.0.0

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 调用在端口的出方向（调用失败）

[R1-GigabitEthernet0/0/1]undo traffic-filter outbound

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 调用在端口的出方向（调用成功）

备注：一个接口的同一个方向上只能调用一个ACL进行报文过滤如果要进行更改，则要先undo原来调用的acl

2）如何在入口上调用ACL：

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000入口调用acl 2000

3）验证默认规则号：

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]undo traffic-filter inbound

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]undo traffic-filter outbound

[R1]undo acl 2001

[R1]undo acl 2000

[R1]acl 2000

[R1-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0

[R1-acl-basic-2000]display this 经查看默认起始规则号为5

4）验证规则匹配顺序

[R1]acl 2000

[R1-acl-basic-2000]rule 2 permit source 192.168.1.0 0.0.0.255

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

此时192.168.1.1 ping 192.168.100.1（可ping通，PC1此时无限制）

[R1]acl 2000

[R1-acl-basic-2000]undo rule 5

[R1-acl-basic-2000]rule 1 deny source 192.168.1.1 0.0.0.0

此时192.168.1.1 ping 192.168.100.1（不可ping通）

[R1]undo acl 2000

[R1]acl 2000

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]rule 20 deny source 192.168.1.1 0.0.0.0

此时192.168.1.1 ping 192.168.100.1（可ping通，PC1此时无限制）

<R1>display acl 2000

[R1]acl 2000

[R1-acl-basic-2000]undo rule 20

[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0

[R1-acl-basic-2000]undo rule 10

此时192.168.1.1 ping 192.168.100.1（不可ping通）

一、ACL访问控制

1、ACL匹配原则

根据ACL规则编号从小到大匹配（编号越小越优先被匹配）

匹配即停止（匹配上了第一条规则，就按照规则的动作去执行，不再向下查找第二条规则）

如果没有匹配到第一条规则，则向下查找第二条规则，如果匹配，则按照第二条规则的动作去执行

如果所有的规则都无法匹配，则执行隐含规则：

允许所有：只要使用traffic-filter调用ACL规则时默认规则是允许所有

拒绝所有：只要不使用traffic-filter调用ACL就是拒绝所有

2、匹配与不匹配

匹配：不论匹配的动作是“permit”还是“deny”，都称为“匹配”

不匹配：不存在ACL，或ACL中无规则，再或检查了所有规则都没有找到符合的规则，以上三种情况，都叫做“不匹配”

3、ACL类型之一高级ACL

高级ACL：可以过滤三层数据报文也可以过滤四层数据报文

ACL编号： 3000~3999 条件：五元组（源IP/目标IP/协议号/源端口/目标端口）

4、HOW-配置高级访问控制

需求1：-售后部主机Client1仅能访问 Server1上的Web服务,但是不能访问server1的其他任何服务

解析：

1）Client1只能访问server1的80端口，只能访问服务器部署的网站（web服务）

2）Client1不能ping 通server1

3) Client1 不能访问server1 的ftp服务

需求2：-售后部主机Client1可以访问行政部的所有主机的所有服务

解析：

1） Client1 可以ping通PC1，可以ping通192.168.2.0/24网段的所有IP

需求3：-售后部主机Client1不能访问网络中的其他任何主机

解析：

1）Client1 不能访问其他的路由器的接口IP地址，如：12.0/24 23.0/24

拓扑：

配置:

1）按拓扑配置路由器接口及终端设备IP地址

2）配置静态路由

[R1]ip route-static 0.0.0.0 0 192.168.12.2

[R2]ip route-static 192.168.1.0 24 192.168.12.1

[R2]ip route-static 192.168.3.0 24 192.168.23.3

[R3]ip route-static 0.0.0.0 0 192.168.23.2

3）配置web服务器并验证Client1 访问web服务，ping 所有网段

4）配置高级访问控制

[R1]acl 3000

[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1

0 destination-port eq 80 规则10：允许源IP：192.168.1.1 访问目的服务器 192.168.3.1的80端口

[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0

0.0.0.255规则20：允许源IP：192.168.1.1 访问目标网段 192.168.2.0/24段的所有主机的所有服务

[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any拒绝源IP：192.168.1.1的报文访问任意IP地址

5）接口调用acl

[R1]interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000在接口的入方向上调用acl 3000

进入这个接口的流量应用acl 3000 的规则

总结：

调用基本ACL，尽量在离目标近的接口上调用，避免数据被误杀,调用高级ACL，尽量离源近的接口上调用，避免无效的流量占用有限的带宽

6)验证：

Client1可以访问Server1的www服务，但不能ping通Server1

Client1可以ping 192.168.2.1与192.168.2.254

Client1不可以ping 192.168.12.0/24和192.168.23.0/24的网段

命令解析：

acl 3000 :高级acl

rule 10 :规则10

permit :允许

tcp :tcp协议: 四层流量

ip : ip协议：三层流量

source :源

192.168.1.1：源IP地址

0.0.0.0. ：通配符：0代表绝对匹配，代表唯一的一个IP地址

destination :目标

192.168.3.1 0.0.0.0 ：目标IP地址，通配符为 0

destination-port ：目标端口

eq ：等于

www :web服务：默认是80端口

any ：表示任意IP地址，你可以理解为所有

inbound ：入向流量

5、HOW-高级ACL之ICMP

接前一个实验环境：

需求1：售后部主机Client1 仅仅能ping通 Server1，不能访问server1其他服务

需求2：-售后部主机Client1可以访问行政部的所有主机的所有服务

需求3：-售后部主机Client1不能访问网络中的其他任何主机

1）配置：

[R1]acl 3000

[R1-acl-adv-3000]undo rule 10

[R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.

1 0 允许源IP 192.168.1.1 ping 通目的IP：192.168.3.1

2）验证：

Client1可以ping通Server1，不能访问Server1的www服务

Client1可以ping 192.168.2.1与192.168.2.254

Client1不可以ping 192.168.12.0/24和192.168.23.0/24的网段

5、HOW-基本ACL之Telnet

需求1：仅允许192.168.1.254 远程登录 R2的所有接口IP，拒绝其他所有IP地址

需求2：拒绝R1的任何IP地址远程登录 R3的所有接口IP，其他设备都可以

拓扑：

需求1配置：

1）R2配置远程管理

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):123456

2）验证：以下IP都可以远程管理R2

<R1>telnet -a 192.168.1.254 192.168.23.2

<R1>telnet -a 192.168.1.254 192.168.12.2

<R1>telnet -a 192.168.1.254 192.168.2.254

<R1>telnet -a 192.168.12.1 192.168.23.2

<R1>telnet -a 192.168.12.1 192.168.12.2

<R1>telnet -a 192.168.12.1 192.168.2.254

<R3>telnet -a 192.168.3.254 192.168.2.254

<R3>telnet -a 192.168.3.254 192.168.12.2

<R3>telnet -a 192.168.3.254 192.168.23.2

<R3>telnet -a 192.168.23.3 192.168.2.254

<R3>telnet -a 192.168.23.3 192.168.12.2

<R3>telnet -a 192.168.23.3 192.168.23.2

3）配置基本ACL

[R2]acl 2000

[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0

[R2]user-interface vty 0 4

[R2-ui-vty0-4]acl 2000 inbound 在虚拟终端接口（远程接口）下调用acl

默认隐含规则：

拒绝所有：不使用traffic-filter调用acl，默认是拒绝所有

只允许192.168.1.254 拒绝其他所有IP

验证：192.168.1.254可以远程 R2

<R1>telnet -a 192.168.1.254 192.168.12.2

<R1>telnet -a 192.168.1.254 192.168.23.2

<R1>telnet -a 192.168.1.254 192.168.2.254

以下IP地址都不可以远程R2

<R1>telnet -a 192.168.12.1 192.168.23.2

<R1>telnet -a 192.168.12.1 192.168.12.2

<R1>telnet -a 192.168.12.1 192.168.2.254

<R3>telnet -a 192.168.3.254 192.168.2.254

<R3>telnet -a 192.168.3.254 192.168.12.2

<R3>telnet -a 192.168.3.254 192.168.23.2

<R3>telnet -a 192.168.23.3 192.168.2.254

<R3>telnet -a 192.168.23.3 192.168.12.2

<R3>telnet -a 192.168.23.3 192.168.23.2

需求2配置：

1）R3配置远程管理

[R3]user-interface vty 0 4

[R3-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):123456

2）验证：以下IP都可以远程管理R3

<R1>telnet -a 192.168.12.1 192.168.3.254

<R1>telnet -a 192.168.12.1 192.168.23.3

<R1>telnet -a 192.168.1.254 192.168.3.254

<R1>telnet -a 192.168.1.254 192.168.23.3

3）配置基本ACL

[R3]acl 2000

[R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0

[R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0

[R3-acl-basic-2000]rule 30 permit source any

规则10：拒绝192.168.1.254

规则20：拒绝192.168.12.1

规则30：允许所有

[R3]user-interface vty 0 4

[R3-ui-vty0-4]acl 2000 inbound

默认隐含规则：

拒绝所有：不使用traffic-filter 调用acl，默认是拒绝所有

4）验证：

R1不可以远程R3

<R1>telnet -a 192.168.1.254 192.168.23.3

<R1>telnet -a 192.168.1.254 192.168.3.254

<R1>telnet -a 192.168.12.1 192.168.23.3

<R1>telnet -a 192.168.12.1 192.168.3.254

R2可以远程R3

<R2>telnet -a 192.168.23.2 192.168.23.3

<R2>telnet -a 192.168.12.2 192.168.23.3

<R2>telnet -a 192.168.2.254 192.168.23.3

<R2>telnet -a 192.168.23.2 192.168.3.254

<R2>telnet -a 192.168.12.2 192.168.3.254

<R2>telnet -a 192.168.2.254 192.168.3.254

二、NAT网络地址转换

1、(why)为什么需要NAT

1) 解决IPv4地址不足: IPv4 公网地址总量固定（约 43 亿），但企业内设备（员工电脑、办公终端、IoT 设备等）数量可能达数百亿甚至数千亿台,所以IPv4公网IP地址不够用,为了节约IPv4公网地址,需要使用NAT技术

2) 节约企业 IPv4公网IP租用成本: 公网IP 需向 ISP 付费租用，且数量受限。NAT 通过复用公网 IP，减少公网IP的采购,节约成本,节约IPv4地址

3) 企业内外网互联: 实现使用私有IPv4地址的内网主机访问互联网应用,实现使用私有IP地址的企业内外网互联

4) 隐藏内部网络结构: 私有IP 在公网中无法直接路由，外部攻击者只能看到 NAT 设备的公网 IP，无法获取内部设备的真实 IP

5) 私有地址自主规划，避免冲突:企业可自由使用私有网段无需担心与其他网络地址冲突,NAT 会在出口处统一转换地址，确保公网通信唯一性

2、（where）NAT应用场景：

政企、校园、医疗园区网络出口网关设备

数据中心服务器对外映射

集团和分公司网络互通

ISP运营商(数据中心) 中国电信,联动,移动

宽带接入网络

3、(what)NAT是什么

NAT是网络地址转换

4、NAT的作用

1）对IP报头中的“私有IP地址”和“公有IP地址”进行转换，实现内外网互访

2）隐藏内网，提高网络安全性

5、NAT是如何工作的：

1）NAT工作依赖一张表： NAT会话转换表

在NAT会话表中记录了私有IP地址公有IP地址的绑定关系（映射关系）

比如：私有IP 公有IP

192.168.1.1 100.1.1.3

数据包从内向外发送时

转换的是数据包的：“源IP地址”，由私转公

先经过路由表，再经过NAT表

数据包从外向内返回时

转换的是数据包的：“目标IP地址” 由公转私

先经过NAT表，再经过路由表

三、 (What)NAT分类

1、静态NAT:

1）静态1对1：私网 IP 地址与公网 IP 地址进行一对一的固定映射

2）应用场景：主要应用场景：服务器映射（对网络稳定要求高的）--使用静态nat较少

3）优点：双向互通：私网可以访问公网，公网用户也可以直接访问私网中的服务器

只有静态NAT可以实现双向互访

4）不足：

· 浪费公网地址：每一个私网地址都需要绑定一个公网地址，无法节省公网地址资源

· 维护难度大：随着网络规模的扩大，维护一对一映射的地址表变得更加困难。每次添加或删除内部设备，都需要相应地更新 NAT 配置，增加了管理负担

· 存在安全隐患：虽然便于管理和监控，但也暴露了内网设备，容易成为攻击目标

2、动态NAT:

1）动态 NAT 创建一个公网地址池

2）私有 IP 地址的主机访问外部网络时，NAT 设备会从地址池中选择一个未被其他主机占用的公有 IP 地址，将该私有 IP 地址与选中的公有 IP 地址进行一对一的映射转换。

3）当数据会话结束后，路由器会释放掉该公有 IP 地址，使其回到地址池，以供其他内部私有 IP 地址进行转换。

4）优点：在不同的时间,一个公网IP可以为多个私有IP地址做地址转换,提高公网IP地址的利用率

5）不足：当多个私有IP地址同时访问公网应用时，地址池里公网地址数量如果小于私有IP地址，会导致NAT地址池枯竭，导致内网主机无法访问公网应用。出现网络访问时断时续的情况

3、NAPT：网络地址端口转换（ Network Address Port Translation ）

1）多对一的地址转换：使用“IP地址＋端口号”的形式进行转换，使多个私有IP地址可共用一个公网IP地址访问外网

2）NAPT的实现方式主要有EasyIP和地址池NAPT

3）优点：节省公网 IP 地址

4）不足：端口管理复杂

5）应用场景：政企业园区网络

4、NAT Server：

1）NAT Server ：服务器映射：使用IP地址+端口号方式转换

是一种特殊的静态NAT，主要于外网用户访问企业内网服务器的场景

2）应用场景：企业服务器映射，web服务器，邮箱服务器对外映射

四、（HOW）NAT配置

1、静态NAT配置

需求：实现企业内网访问外部网络

拓扑：

配置命令：

1）配置路由器接口IP

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 29

[R2]interface GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 29

[R2]interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0]ip address 200.1.1.254 24

2）R1配置默认路由：

[R1]ip route-static 0.0.0.0 0 100.1.1.2

3）在出口设备的出接口上配置静态NAT

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]nat static global 100.1.1.3 inside 192.168.1.1

4）验证：

display nat static :显示静态NAT

PC1 ping 200.1.1.1

5）静态NAT会话转换表

NAT会话转换表：一个私有IP 和一个公网IP绑定在一起

数据包出去的时候，转换源IP：将源IP由私有IP转换为公有IP，目标IP不变

数据包回来的时候，转换目的IP：将目的IP由公有IP地址，转换为私有IP，源IP不变

6）备注：

-默认路由解决的是数据出去的问题

-NAT解决的时候数据回来的问题

7）静态NAT：

私有IP地址和公有IP地址是1对1转换

一个私有IP地址，绑定一个公有IP地址

静态1对1 并没有从根本上节约IPv4地址