NAT转换、VLAN与Trunk（特典：ACL初步）

一、NAT（网络地址转换）

即公有地址转换为私有地址

私有地址段（非公网地址，即公网不识别）

A       10.0.0.0            10.255.255.255

B       172.16.0.0        172.31.255.255

C       192.168.0.0     192.168.255.255

NAT转换的方式：

一对一转换（静态NAT）：即IP对IP（用于服务器挂载公网）

多对一转换（动态NAT）：即IP集群对公网的借口（用于用户宽带上网）

NAT基本语法：

ip      nat      inside（内网）     source（源）    源的方式        指向外网的方式（接口或IP）

源的方式一般有两个：ACL列表和static静态IP地址

静态NAT指向外网的方式一般是IP

动态NAT指向外网的方式一般是接口

做NAT转换的一般步骤（思路）：

针对静态NAT：     ip nat inside source static 内网地址 外网地址

进入处于外网的接口：ip nat outside

进入处于内网的借口：ip nat inside

针对动态NAT：     access-list 10 permit IP地址（创建一条允许访问的ACL记录）

ip nat inside source list 10 int f0/1（指向所处外网的接口）

进入处于外网的接口：ip nat outside

进入处于内网的接口：ip nat inside

情景实例：

要求：PC能够访问服务器上的网页（服务器已开启HTTP服务）

详细配置：

1.      配置计算机和服务器的IP地址

2.      路由器各个接口配上要求的IP地址（代码不做展示）

3.      R2路由器做静态NAT

ip nat inside source static 10.1.1.2 111.1.1.2

int f0/0（外网接口）

ip nat outside

int f0/1（内网接口）

ip nat inside

4.      R1路由器做动态NAT

access-list 10 permit 10.1.1.1

access-list 10 permit 10.1.1.2

ip nat inside source list 10 int f0/1

int f0/0（内网接口）

ip nat inside

int f0/1（外网接口）

ip nat outside

验证：PC访问111.1.1.2即可（因为做静态NAT时服务器的内网IP转换到了公网的指定IP）

二、VLAN与Trunk

VLAN（虚拟局域网）：

即由交换机组成一个网络，默认情况下交换机的所有接口都在一个VLAN中（即VLAN1）

将交换机的接口从原来的VLAN1迁移到其他VLAN内，称作VLAN的划分

当终端设备连接不同VLAN时，相当于网络被逻辑层面分割

查看VLAN表：show vlan brief

创建VLAN：vlan XX（XX代表VLAN号）

将接口划入相应的VLAN：

进入端口后：switchport mode access

Switchport access vlan xx

Trunk（中继）：

即允许多个VLAN经过交换机的接口，其直接目的是为了使交换机做级联

情景实例：

下面我们就通过这个实验拓扑来直观的讲下VLAN和trunk

（一张图搞懂VLAN和Trunk）

如图所示：

PC0一直到PC7共八台主机，其中PC0到PC3四台主机连到了交换机SW1中，其余四台连到了交换机SW2中，八台主机都设置好了IP地址，且保证在一个网段里。

由于我们对交换机未作任何设置，并且八台主机都在一个网段，那么我们可以保证八台主机是可以相互通信的（VLAN1）

实验一：按照拓扑右上角的信息将每台主机划分到相应的VLAN中

首先对SW1进行设置：

（首先创建VLAN）

vlan 10

vlan 20

进入主机联入交换机的相应接口，做如下设置：

int f0/1；int f0/2；int f0/3；int f0/4　　//（或者用简便指令：int range f0/1-4）

switchport mode access

switchport access vlan 10；switchport access vlan 20

交换机SW2的指令和SW1几乎一致！

完成实验一后，我们发现：

SW1中连接的PC0和PC1；PC2和PC3能互相通信（SW2也一样）

但PC0，PC1却不能与PC2，PC3互相通信

虚拟局域网（VLAN）起到了作用，效果拔群！

同时我们发现SW1下的VLAN10，VLAN20还是不能与SW2下的VLAN10，VLAN20进行通信

那么我怎么样才能使之相互通信呢？

这就要用到Trunk中继技术了

实验二：SW1与SW2设置级联

SW1和SW2用交叉线连接（其实现在的技术不在乎用直通线或交叉线了，因为现在的网卡都自带了自适应的功能），然后每台交换机进入级联接口输入以下指令：

switchport mode trunk

完成实验二后，我们发现：

SW1中的VLAN10能和SW2中的VLAN10进行通信（VLAN20同理）

Trunk起到了作用，效果依旧拔群！（笑）

特典：ACL简介

ACL访问控制列表的主要功能是匹配感兴趣的数据流（主要是针对IP地址）和匹配路由信息（IP），其类型有两种：标准和扩展（访问列表所对应的序号分别为1~99及100~199），两种ACL的访问动作都为deny和permit（拒绝和允许）。

ACL在默认的情况下，其内容都属于“白名单”模式，即默认所有的ACL表最后的语句都自带了deny all语句。

标准语法：

1.      access-list        （标准ACL）

命令格式：     access-list  访问控制列表序号  访问动作  {source [通配符掩码] | any}

其中：     控制列表序号为1~99（标准ACL）

访问动作：permit和deny

source指明了该条控制列表规则应用的源IP地址

通配符源码：即反掩码（以后另开一篇文章好好讲下）

如果在末尾加上参数any，说明此时所有的地址都是匹配这条ACL的

2.  access-list        （扩展ACL）

命令格式：     access-list  访问控制列表序号  访问动作  所使用的协议  {source [通配符掩码] destination [通配符掩码] | any}  eq  端口号（或服务名）

其中：     控制列表序号为100~199（扩展ACL）

访问动作：permit和deny

source指明了该条控制列表规则应用的源IP地址

destination指明了该条控制列表规则应用的目标IP地址

3.  ip access-group

命令格式：ip access-group 控制列表序号  针对流量点

其中：     控制列表序号是之前创建的，我们进入接口后要进行调用

针对流量点有两个：in和on（即入口和出口）

下面，我们通过几个实例来简单介绍下ACL的应用：

实例：

1.      不允许1.1.1.1访问服务器（标准ACL）：

acess-list  10  permit  any

access-list  10  deny  1.1.1.1              //策略实施

int  f0/0

ip  access-group  9  in                 //对接口进行指令生效

2.      1.1.1.2访问服务器，只能http访问，其他方式无效（扩展ACL）：

access-list  100  permit  tcp  host  1.1.1.2  host  2.2.2.1  eq  80

//80端口是HTTP的服务端口，tcp是HTTP的应用服务

int   f0/1

ip  access-group  100  on

原文地址：https://www.cnblogs.com/lilywhite/p/10146173.html