9일차, ACL, NAT 설정.

A - access
C - Control
L - list

Permit -
 1.#config(전역설정) -정책 설정
 2.#interface -정책 적용  in에서 설정해야한다.
Deny
 Standard (1~99) - Souce Address
 extanded (100~199) - S.A, D.A, protocol, (port N/m)

검사순서
inbound
라우팅 테이블
outbound

ACL 적용하는 곳 - interface
send     - 내가 보내는 것  //ACL은 내가 주는건 차단이 안된다. 그래서 ACL은 인근 장비에 설정한다.
forward - 남이 준 걸 전달

콘솔,옥스(aux)/vty(텔넷)
      acl 0          acl

\\\\\\\\\\\\\\\\\\\\\\\\\\\
access-list 1 permit

ip access-group **** in

p.n------  S.p R
 D.p 80 ★★★

## 포트 할당
port번호 크기 2Byte == 16bit
2^16 == 65536
컴퓨터번호 0~65535
0~1023  -- 잘 알려진 포트번호 well known
1024 ~65535  -- 잘 알려지지 않은 포트번호(Random 설정시)
렌덤에서 +1씩 되는 포트번호를 쓴다.

lt(less then), gt(greater than), eq(equal to), neq(not equal to)

ping icmp
172.22.242.23
192.168.240.3

\\\\\\\\\ACL설정하기
access-list 100 permit tcp host C host S eq 80
access-list 100 deny ip any host server  //4계층 이하는 포트번호없다.
access-list 100 permit ip any any

int f0/0
ip access-group 100 in

오직 C만 웹서비스만을 받도록 하여라
access-list 100 permit tcp host 192.168.240.3 host 172.22.242.23 eq 80
access-list 100 deny ip any host 172.22.242.23
access-list 100 permit ip any any
int f0/0
ip access-group 100 in

\\\\\\\\\\\\\\\\\\\\\\문제 설정 끝
패킷
EII
IP
ICMP

----------------------------------------

Network Address Translation
3층 -- network  ___ ip ___ IP주소를 번역하는 것.

사설 아이피 대역 주소
A: 10.x.x.x
B: 172.16.x.x ~172.31.x.x
C: 192.168.x.x

같은 네트워크 내역에서는 통신됨.
나트 테이블
static        -  관리자가 명령어로 설정할 때
dynamic    -  둥둥 떠다니는 공인 아이피로 나갈 때(사설->공인)

static 설정
1. ip nat pool mypool [global] //공인아이피 수영장#(config)
2. ip nat inside source list [ ]
3. 맵핑
4. serial에 외부망이라고 방향 설정 #(config-if)
fast / Loop는 내부망이라고 알려줌

210.123.94.1~14 /// 사용가능한 것만 적는다. networkID,broad 빼고 적는다

1) 공인 pool
ip nat pool Pub_IP 210.123.94.1 210.123.94.14 netmask 255.255.255.240
2) 사설 s acl 
ip nat pool Pub_IP 210.123.94.1 210.123.94.14 netmask 255.255.255.240
3) 매핑 ip nat inside source list 1 pool TEST (overload)
4) 내부/외부
interface ethernet 0 -> ip nat inside
interface serial 0 -> ip nat outside

==============
피씨IP : port (1024~65535)까지 구분가능 NAT-PAT (port address translation)
맵핑 때 마지막에 overload만 붙이면 된다.

1. OSPF로 전체 통신
#NAT
en
conf t
int loopback 1
ip address 10.10.1.1 255.255.255.0
int loopback 2
ip address 10.10.2.2 255.255.255.0
int loopback 3
ip address 10.10.3.3 255.255.255.0
int s1/0
bandwidth 1024
no shut
ip addr 16.16.12.1 255.255.255.0
router ospf 100
network 10.10.1.0 0.0.0.255 area 0
network 10.10.2.0 0.0.0.255 area 0
network 10.10.3.0 0.0.0.255 area 0
network 16.16.12.0 0.0.0.255 area 0

#R2
en
conf t
int s1/0
ip addr 16.16.12.2 255.255.255.0
bandwidth 1024
no shut
int s1/1
ip addr 16.16.23.1 255.255.255.0
bandwidth 1024
no shut
router ospf 100
network 16.16.12.0 0.0.0.255 area 0
network 16.16.23.0 0.0.0.255 area 0

#ISP
en
conf t
int s1/1
ip addr 16.16.23.2 255.255.255.0
bandwidth 1024
no shut
router ospf 100
network 16.16.23.0 0.0.0.255 area 0

2. acl로 로컬 글로벌 구분
R2
access-list 100 deny ip host 10.10.1.1 any
access-list 100 deny ip host 10.10.2.2 any
access-list 100 deny ip host 10.10.3.3 any
access-list 100 permit ip any any
int s1/0
ip access-group 100 in

 

3. NAT로 인터넷 되도록하라
1.1.1.1/24  ---- pool
ip nat pool mypool 1.1.1.1 1.1.1.254 netmask 255.255.255.0
access-list 1 permit 10.10.1.0 0.0.0.255
access-list 1 permit 10.10.2.0 0.0.0.255
access-list 1 permit 10.10.3.0 0.0.0.255
ip nat inside source list 1 pool mypool overload
int s1/0
ip nat out
int loop 1
ip nat in
int loop 2
ip nat in
Int loop 3
ip nat in

4.마지막으로 nat테이블에 고정 아이피를 할당하거나 루프백을 추가하여 1.1.1.1주소를 할당해준다.

R2에서 막아야됨
NAT# ping 16.16.23.3 source 10.10.1.1
NAT를 설정하면 핑이 안간다.
show ip nat translation