1.标准访问控制
管的过于宽泛,不够细化。尽可能远离IP
使用标准访问控制列表--即对IP进行访问控制
查看访问控制列表
show access-list
全局模式下:access-list ID(1-99) 操作(permi/deny) IP MASK
access-list 3 deny 192.168.1.0 0.0.0.255
access-list 3 permit any
ip access-group ID 方向(in/out)
用上述控制访问列表的方式让C类地址不能在公共网络上出现
接下要让这些地址能访问外网,这就需要使用马甲
2.马甲的使用
1)定义马甲(定义一个供转换的地址网段):ip nat pool name IP(起始IP) IP(结束IP)netmask 255.255.255.0
ip nat pool xxx 222.27.174.1 222.27.174.100 netmask 255.255.255.0
2)定义允许进行转换的地址网段,通过访问控制表:ip nat inside soure list ID pool name overload(inside 允许内部访问外部,ouside允许外部访问里面)
ip nat inside soure list 3 pool xxx overload
进入指定端口 ip nat inside/ip nat outside
3.扩展访问控制
比较细化,尽可能接近源IP
(config term)
定义规则:
全局模式下:access-list ID(100-199) 操作(permit/deny) protocol 源IP mask 目标IP mask 关系运算 具体网络访问
access-list 101 permit tcp 192.168.1.1 0.0.0.0 60.0.0.1 0.0.0.0 80
access-list 101 deny tcp host 192.168.1.1 host 60.0.0.1 eq ftp
access-list 101 permit tcp host 192.168.1.2 host 60.0.0.1 eq ftp
access-list 101 deny tcp host 192.168.1.2 host 60.0.0.1 eq www
access-list 101 permit ip any any
应用规则:ip access-group ID in/out
ip access-group 101 in
应用该列表:
选择使用该规则的端口
ip access-group 101 out
3.无线网络
是对有线网络的扩展
无线网卡,link
思科模拟器之网络访问控制