局域网管理——路由器与交换机配置第6章 访问列表和网络地址转换.ppt

1、第6章 访问列表和网络地址转换,6.1 Cisco访问列表基础 6.2 配置访问列表 6.3 NAT技术,6.1 Cisco访问列表基础,6.1.1 访问列表的应用 随着网络的不断发展，路由器在校园网中担当了重要的角色。然而不少单位仅仅利用了它的一个基本功能路由，实际上路由器还可以用来设置访问控制策略。现以Cisco路由器为例，介绍路由器访问列表的应用。 用time-range命令来指定时间范围的名称，然后用absolute命令一个或者多个periodic命令来具体定义时间范围，IOS命令格式为： time-range time-range-name absolute start time d

2、ate end time date periodic days-of-the week hh:mm to days-of-the week hh:mm 例如：要表示每天的早6点到晚10点就可以用下列语句： absolute start 6:00 end 22:00,下一页,返回,6.1 Cisco访问列表基础,例6.1为了让子网机器在工作时间不能进行Web浏览，设置从2002年12月1日0点到2002年12月31日晚23点59分。这一个月中，只有在周六早7点到周日晚10点才可以通过学校的网络访问Internet。,上一页,下一页,返回,6.1 Cisco访问列表基础,router# confi

3、g t router (config)# interface ethernet 0 router (config-if)#ip access-group 101 in router (config-if)#time-range http router (config-if)#absolute start 0:00 1 December 2002 end 23:59 31 december 2000 periodic Saturday 7:00 to Sunday 22:00 router (config-if)#ip access-list 101 permit tcp any any eq

4、80 http,上一页,下一页,返回,6.1 Cisco访问列表基础,6.1.2 访问列表的类型 目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。 基本访问表控制基于网络地址的信息流，且只允许过滤源地址。 扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据，表6-1列出了路由器所支持的不同访问表的号码范围。,上一页,下一页,返回,6.1 Cisco访问列表基础,6.1.3 通配符掩码 通配符掩码是一个32位的数字字符串，它被用点号分成4个8位组，每组包含8位。在通配符掩码位中，“0”表示检查相应的位，“1”表示不检查相应的位。通配符掩

5、码与IP地址是成对出现的，通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中，数字“1”和“0”用来决定是网络、子网，还是相应的主机的IP地址。如表示这个网段，使用通配符掩码应为55。 在通配符掩码中，可以用55表示所有IP地址，因为全为“1”说明所有32位都不检查相应的位，这时可以用any来取代，而的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。所以在访问控制列表中，可以选择其中一种表示方法来说明网络、子网或主机。,上一页,返回,6.2 配置访问列表,6.2.1 创建和使用

6、访问列表 在一个接口上配置访问表需要下列3个步骤： （1）定义访问表。 （2）指定访问表所应用的接口。 （3）定义访问表作用于接口上的方向。 一般的，采用interface命令指定一个接口。例如，为了将访问表应用于串口“0”，应使用如下命令指定此端口： interface serial0 类似地，为将访问表应用于路由器的以太网端口上时，假定端口为Ethernet0，则应使用如下命令来指定此端口： interface ethernet0,下一页,返回,6.2 配置访问列表,6.2.2 访问列表配置准则 由于ACL涉及的配置命令很灵活，功能也很强大，现在将ACL设置原则罗列出来，方便各位读者更好地

7、理解ACL知识。 1. 最小特权原则 只给受控对象完成任务所必需的最小的权限，也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2. 最靠近受控对象原则 所有的网络层访问权限控制，也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。,上一页,下一页,返回,6.2 配置访问列表,3. 默认丢弃原则 在Cisco路由交换设备中，默认最后一句为ACL中加入了deny any any，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤

8、技术来实现的，过滤的依据又仅仅只是第3层和第4层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人、无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。,上一页,下一页,返回,6.2 配置访问列表,6.2.3 标准IP访问列表的配置 在范围099中的IP访问列表属于标准IP访问列表。标准访问列表只根据源IP地址过滤流量。这个IP可以是一台主机、整个网络或者特定网络上的特定主机。图6-1显示了标准IP访问列表的工作过程。 当路由器在设置了标准访问列表的接口上收到一个报文时，路由器根据访问列表检查该报文的源IP地址。如果访

9、问列表与一条允许语句相匹配，则该报文被允许通过；如果该报文与一条允许语句不匹配，则该报文被丢弃。一旦被通过或允许，该报文就通过比较它的网络地址与路由器上内部的路由表而被路由到它的目的地。,上一页,下一页,返回,6.2 配置访问列表,这就使我们注意到一个贯穿本章强调的重要问题，在标准或扩展IP的每个访问列表的末尾，总有一个隐含的deny all。这意味着如果报文与允许语句不匹配，则隐含的deny all将会禁止该报文。 由于这一点，因此明确允许所需要的流量是重要的。看下面的3个访问列表例子。,上一页,下一页,返回,6.2 配置访问列表,6.2.4 扩展IP访问列表的配置 范围为100199之间的

10、IP访问列表称为扩展的IP访问列表。扩展IP访问列表可以基于源IP地址、目的IP地址和传输层TCP或UDP端口信息来过滤流量。 当路由器在设置了扩展IP访问列表的一个接口上收到报文时，路由器根据访问列表检查报文的源IP地址，然后是目的地址，最后是TCP或UDP端口。如果访问列表与一条permit语句匹配，则允许该报文通过；如果报文与一条permit语句不匹配，则该报文被丢弃。一旦通过或被允许，将报文的网络地址与路由器上的内部路由表相比较，就可以把报文路由到它的目的地。,上一页,下一页,返回,6.2 配置访问列表,和标准IP访问列表一样，扩展IP访问列表需要在全局配置模式下输入。扩展IP访问列表

11、有更多内容，因此我们在解释访问列表示例之前先对每个配置选项进行分解说明。 首先，我们知道IP扩展访问列表位于100199范围之内，因此该命令的语法见表6-2。 扩展访问列表的格式如下： access-list listnumber permit | deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand ,上一页,下一页,返回,6.2 配置访问列表,6.2.5 其他访问列表 1. 基于名称的访问控制列表 不管是标准访问控制列表还是扩展访问控制列表都有一个弊端

12、，那就是当设置好ACL的规则后发现其中的某条规则有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。,上一页,下一页,返回,6.2 配置访问列表,2. 反向访问控制列表 使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效地防范病毒的攻击。 再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是

13、我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。,上一页,下一页,返回,6.2 配置访问列表,3. 基于时间的访问控制列表 上面我们介绍了标准ACL与扩展ACL，实际上掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。,上一页,返回,6.3 NAT技术,6.3.1 网络地址转换概述 随着Internet的网络迅速发展，IP地址短缺已成为一个十分突出的问

14、题。为了解决这个问题，出现了多种解决方案。本节介绍一种在目前网络环境中比较有效的方法，即地址转换（NAT）功能。 NAT（Network Address Translation)的功能就是指在一个网络内部，根据需要可以随意自定义IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通信。而当内部的计算机要与外部Internet网络进行通信时，具有NAT功能的设备（比如路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。,下一页,返回,6.3 NAT技术,6.3.2 NAT原理与类型 1. NAT技术的基本原理 NAT技术能帮助解决IP地址紧缺的

15、问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是，在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。,上一页,下一页,返回,6.3 NAT技术,2. NAT技术的类型 NAT有三种类型：静态NA

16、T（Static NAT）、动态地址NAT（Pooled NAT）、网络地址端口转换NAPT（Port-Level NAT）。其中静态NAT设置起来最为简单、最容易实现，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。,上一页,下一页,返回,6.3 NAT技术,6.3.3 NAT技术应用设置 设置NAT功能的路由器至少要有一个内部端口（Inside）和一个外部端口（Outside）。内部端口

17、连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能（本节示例所用路由器为Cisco 2501，其IOS为11.2版本以上，支持NAT功能）。 NAT设置可以分为静态地址转换、动态地址转换和复用动态地址转换。,上一页,下一页,返回,6.3 NAT技术,1. 静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这

18、些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。,上一页,下一页,返回,6.3 NAT技术,静态地址转换基本配置步骤如下： （1）在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入“Ip nat inside source static内部本地地址内部合法地址”。 （2）指定连接网络的内部端口在端口设置状态下输入“ip nat inside”。 （3）指定连接外部网络的外部端口在端口设置状态下输入“ip nat outside”。 注：可以根据实际需要定义多个内部端口及多个外部端口。,上一页,下一页,返回,6.3 NAT技术,2. 动态地址转换适用的环境 动态地址转换也是将本地地址与内部合法地址进行一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。 动态地址转换基本配置步骤如下： （1）在全局设置模式下，用以下语句定义内部合法地址池。 ip nat pool地址池名称 起始IP地址 终止IP地址 子网掩码 其中地址池名称可以任意设定。 （2）在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换，如下所示： Access-list标号permit 源地址 通配符 其中标号为199之间的整数。 （3）在全局设置模式下，使用下列语