• 作者简介：一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。 

•  座右铭：低头赶路，敬事如仪

• 个人主页：网络豆的主页​​​​​​

目录

 前言

一.知识点总结

1.传输层的协议

  （1）TCP 和 UDP 协议

（2）TCP 协议的数据段格式

（3）DUP协议的特点

2.ACL访问控制列表

（1）ACL 的运作原理

（2）这个表如何检查的

（3）ACL 的分类

（4）ACL 标准和扩展的配置

3.NAT  (nat  address  translation)  网络地址转换

（1）NAT作用

（2）NAT 特点

（3）NAT 分类

（4）nat 优点

（5）nat 缺点

（6）NAT 配置（静态nat   动态nat   pat    静态端口映射）

4.ASA防火墙

静态nat

二.PAT和静态端口映射实验

实验要求

实验命令

---

 前言

本章将会复习：传输层的协议  TCP 和 UDP 协议，ACL访问控制列表，NAT  (nat  address  translation)  网络地址转换，防火墙配置。

---

一.知识点总结

1.传输层的协议

  （1）TCP 和 UDP 协议

tcp,  传输控制协议， 有保障的稳定的传输链接协议，需要建立双向链接。

1.         保证链接双方的活跃度和正常传输数据
2.         支持的主要服务   ftp   ssh  telnet   http  远程桌面 等

udp， 用户数据包协议， 即时性强，免去繁琐的验证过程

1.            没有保证的链接协议，在传输过程中不必验证对方是否存在
2.            支持的服务主要有 ntp   dhcp  dns  等

---

（2）TCP 协议的数据段格式

三次握手和四次挥手

1. 三次握手，即客户端与服务端进行的三次通信
2. 四次挥手，就是客户端和服务端通过四次通信释放连接，也叫连接终止协议。

---

（3）DUP协议的特点

1. UDP协议的特点就是无连接、不可靠、面向数据报的，
2. 整个过程就像是一个寄信的过程，每次接收和发送数据均是整条进行发送。

---

2.ACL访问控制列表

作用， 对网络访问进行具体的控制

（1）ACL 的运作原理

1. ACL 是一张配置的表（通过命令配置）
2. ACl 这个表应用到接口的入口或者出口

---

（2）这个表如何检查的

1.     自上而下匹配
2.     匹配到一条后就不再往下匹配
3.     如果表中都没有匹配到，默认拒绝

ACL 匹配的是数据包的那部分内容
 是 传输层端口号 和网络层地址部分的内容

---

（3）ACL 的分类

1. 标准acl
2. 扩展acl
3. 命名acl

---

（4）ACL 标准和扩展的配置

创建标准ACL的语法如下：

Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]

创建扩展的ACL语法如下：

Router(config)#access-list access-list-number {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]

---

3.NAT  (nat  address  translation)  网络地址转换

（1）NAT作用

1. 将私有地址转换为公有地址
2. 可以有效节省ipv4地址(主要是公有地址)

---

（2）NAT 特点

1. NAT允许对内部网络实行私有编址,从而维护合法注册的公有全局编址方案,并节省IP地址;
2. NAT增强了公有网络连接的灵活性

---

（3）NAT 分类

   静态nat    一对一（一个私网地址对应转换为一个公网地址）

•                192.168.1.1 —— 202.106.0.2

   静态端口映射    (几个私网地址转换为一个公网地址，根据不同端口区分)

•                  192.168.100.100：80  —— 202.106.0.150：80
•                  192.168.100.200：23  —— 202.106.0.150：23

    一般用在公司内部服务器通过映射让外网可以访问
 
   动态nat  一组对一组 （实际上也是一对一 不过是随机的，每次都不同）

•      一般不用

   pat 动态端口端口映射   （多对一  就是内网整个网络对一一个外网地址，）

•         192.168.1.0、24 —— 202.106.0.1

    一般用在内网客户机访问外网的情况下

---

（4）nat 优点

1.     有效节省IP 地址
2.     避免地址重叠
3.     增加内网安全性
4.     增加了内网和外网链接灵活性

---

（5）nat 缺点

1.    增加了网络延迟
2.    有些网络服务并不支持

---

（6）NAT 配置（静态nat   动态nat   pat    静态端口映射）

路由器的
  静态nat

 ip  nat  inside  source static  内部服务器地址     外网公网地址

 静态端口映射

   ip nat inside  source  static  tcp  内部服务器地址  端口号   外网公网地址 端口号

pat

   access-list  1  permit   内网客户端主机网段地址    子网掩码
   ip nat  inside  source  list 1  int  路由器外接口编号   overload

---

4.ASA防火墙

静态nat

   static(dmz, outside)  外网公网地址     dmz 服务器地址
   access-list  abc  permit    ip   any    host 外网公网地址
   access-group abc  in  int  outside

静态pat

static(dmz, outside) tcp  外网公网地址  端口号     dmz服务器地址  端口号
access-list  abc  permit    ip   any    host 外网公网地址
access-group abc  in  int  outside

动态pat

   nat(inside)  1  内网网段地址   子网掩码
   global(outside) 1 interface

动态nat

   nat(inside) 1 内网网段地址   子网掩码
   global(outside) 1 外网起始地址—外网结束地址

---

二.PAT和静态端口映射实验

---

实验要求

1. 全网通
2. 配置PAT
3. 配置静态nat
4. 删掉静态nat 配置 静态端口映射

---

实验命令

isp 路由器配置
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#ip add 202.106.0.2 255.255.255.0
Router(config-if)#no sh

Router(config-if)#int f0/1
Router(config-if)#ip add 201.0.0.1 255.255.255.0
Router(config-if)#no sh

---

router0路由器配置
Router>
Router>en

Router(config)#int f1/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no sh

Router(config-if)#int f1/1
Router(config-if)#ip add 192.168.2.1 255.255.255.0
Router(config-if)#no sh

Router(config-if)#int f0/1
Router(config-if)#ip add 172.16.0.1 255.255.255.0
Router(config-if)#no sh

Router(config-if)#int f0/0
Router(config-if)#ip add 202.106.0.1 255.255.255.0
Router(config-if)#no sh

Router(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2

---

配置pat
Router(config)#access-list 1 permit any
Router(config)#ip nat inside source list 1 int f0/0 overload
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#ip nat inside
Router(config-if)#int f1/1
Router(config-if)#ip nat inside

---

配置静态nat
Router(config)#ip nat inside source static 172.16.0.100 202.106.0.100
Router(config)#ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#
Router(config-if)#exit

---

删掉静态nat 配置 静态端口映射
Router(config)#no ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#no ip nat inside source static 172.16.0.100 202.106.0.100

Router(config)#ip nat inside source static tcp 172.16.0.100 80 202.106.0.150 80
Router(config)#ip nat inside source static tcp 172.16.0.200 21 202.106.0.150 21

---

  创作不易，求关注，点赞，收藏，谢谢~