CCNA 十一广域网-ACL+ NAT+DHCP( 高版).pptVIP

3、不能从ACL中去除一行，这将删除整个ACL，命名访问控制列表(named access list)例外。 在上例，发现语句顺序有误，需要调整，若删除其中某一条，将会删除整个ACL。 4、新的语句只能加在现有语句的最后，如果必须要修改，只有先删除现有的访问控制列表，再创建一个新的访问控制列表。 5、默认ACL结尾语句是deny any，所以在ACL里至少要有一条permit语句。 6、创建ACL后要应用在需要过滤的接口上，并指明方向。 7、ACL是用于过滤经过路由器的数据包，它并不会过滤路由器本身所产生的数据包。 如图所示的网络中，若要求过滤来自/8网络中所有的数据包。就不能把ACL放在RA的 S1接口的in方向或者RA的S0接口的out方向，而只能放在RB的S0接口的in方向。 原因：因为RA的S1接口IP地址也是属于/8网络，RA不能过滤自己接口产生的数据包 8、把标准ACL放置在尽可能靠近目标的接口 ，把扩展ACL放置在尽可能靠近源的接口。 实验拓扑如下: 实验要求： 1, 运行EIGRP实现全网互通,自治系统号为90 2, R1 连接的网络/24, 允许所在网络奇数IP地址能够ping sever，允许偶数IP地址telnet服务器 Q1：实现上述要求，需要什么访问控制列表， Q2：在哪些路由器上运用创建的访问控制列表 NAT(Network Address Translation 网络地址翻译):是由IETF定义的一种把内部私有地址翻译成合法公有地址的技术，允许一个机构中Intranet的主机透明连接到公共区域中，无需内部主机拥有注册Internet地址。 Network Address Translation NAT技术： 技术背景：随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络的瓶颈 尽管IPv6可以根本上解决IPv4地址空间不足的问题，但目前众多哦网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过度技术(如CIDP、私网地址等)的使用是解决这个问题的主要技术手段。 其中，使用私网地址之所以能够节省IPv4地址，主要是利用了这样一个事实，一个局域网中一定时间内只有很少的主机需要访问外部网络，80%左右的流量只局限于局域网内部，由于局域网内部的互访可以通过私网地址实现，且私网地址在不同局域网可被重复利用，因此私网地址的使用有效缓解了IPv4地址不足的问题，当局域网的内主机要访问外部时，只需通过NAT技术将私网地址转换为公网地址即可，这样了即可保证网络的互通，又节省了公网地址。 技术优点： 1.对于内网通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可以通过将私网地址转换成公网地址来实现。 2.通过公网地址与端口的结合，可使多个私网用于共用一个公网地址。 3.通过静态映射，不同的内部服务器可以映射到同一个公网地址，外部用户可通过公网地址和端口访问 不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的 攻击行为。 Windows 95 PC Modem Branch office ISDN/analog Small office Central site Frame Relay Frame Relay service PRI BRI BRI Frame Relay Async AAA server Async SA SA Inside Local IP Address Inside Global IP Address NAT table PAT 内部本地地址(Inside Local Address): 内部网络主机使用的IP地址 内部全局地址(Inside Global Address): 内部网络使用的公有IP地址 外部本地地址(Outside Local Address): 外部网络主机使用的IP地址 外部全局地址(Outside Global Address): 外部网络主机使用的公有IP地址 四个地址角色： NAT有三种类型： 静态NAT、动态NAT和端口地址转换(PAT) 1.静态NAT中，内部网络中的每个主机都被永久映射成尾部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 2.动态NAT 动态NAT首先定义合法地址池，然后采用动态分配的方法映射到内部网络。动态NAT是动态一对一的映射。 3.PAT PAT则是内部地址映射