访问控制列表和地址转换原理

1、ISSUE 1.0Internall学习完本课程，您应该能够：理解访问控制列表的基本原理理解地址转换的基本原理Page 1l对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Page 2RInternet公司总部内部网络未授权用户办事处l访问控制列表可以用于防火墙；l访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；l在DCC中，访问控制列表还可用来规定触发拨号的条件；l访问控制列表还可以用于地址转换；l在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。

2、Page 3l一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：Page 4IP报头报头TCP/UDP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类Page 5列表的种类列表的种类数字标识的范围数字标识的范围IP standard list2000-2999IP extended list3000-3999l标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。Page

3、6从/24来的数据包可以通过！从/24来的数据包不能通过！路由器l配置标准访问列表的命令格式如下：acl acl-number match-order auto | config rule normal | special permit | deny source source-addr source-wildcard | any Page 7怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?000255只比较前24位003255只比较前22位0255255255只比较前8位Page 8l反掩码和子网掩码相似，但写法不同

4、：0表示需要比较1表示忽略比较l反掩码和IP地址结合使用，可以描述一个地址范围。l扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。Page 9从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器l配置TCP/UDP协议的扩展访问列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination de

5、st-addr dest- wildcard | any destination-port operator port1 port2 loggingl配置ICMP协议的扩展访问列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl配置其它协议的扩展访问列表：rule normal | special permit | d

6、eny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any loggingPage 10操作符及语法操作符及语法意义意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumber rangeportnumber1

7、portnumber2介于端口号portnumber1 和portnumber2之间Page 11lrule deny icmp source 55 destination any icmp-type host-redirectrule deny icmp source 55 destination any icmp-type host-redirectPage 12lrule deny tcp source 55 destination 55

8、destination-port equal www logging问题: 下面这条访问控制列表表示什么意思?rule deny udp source 55 destination 55 destination-port greater-than 128/16ICMP主机重定向报文/16TCP报文/24WWW 端口l防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Page 13Internet公司总部网络启用防火墙将访问控制列表应用到接口上

9、l打开或者关闭防火墙firewall enable | disable l设置防火墙的缺省过滤模式firewall default permit|deny l显示防火墙的状态信息display firewallPage 14l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向l在接口视图下配置：firewall packet-filter acl-number inbound | outboundPage 15Ethernet0访问控制列表3001作用在Ethernet0接口在out方向有效Serial0访问控制列表2001作用在Serial0接口上在in方向上有效l“特殊时间段内应

10、用特殊的规则”Page 16上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点Internetl一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。l规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较rule deny 55 rule permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（

11、）的访问。l规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。Page 17l学习完本课程，您应该能够：理解访问控制列表的基本原理理解地址转换的基本原理Page 18l按照目前Internet网络迅猛发展的速度，到2010年IPv4的地址将消耗殆尽。l目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。l目前解决IP地址短缺的有效方法：NAT和CIDRPage 19学习完本课程，您应该能够：掌握NAT的基本概念掌握NAT的基本工作原理Page 20Page 21第二章第二章 NAT基本工作原理基本工作原理NAT(Network A

12、ddress Translator)NAT(Network Address Translator)l网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；l使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；l有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。Page 22共有地址和私有地址共有地址和私有地址l私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： -

13、 55 - 55 - 55 Page 23l地址池地址池 地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。Page 24l访问控制列表访问控制列表 访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者

14、是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。Page 25l转换关联转换关联 转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址

15、转换成这个地址池中的某一个地址，完成地址转换。 Page 26Page 27第一章第一章 NAT基本概念基本概念lNATNAT在系统中的位置在系统中的位置 IPTCP/UDPLink LayerNATPage 28NATNAT基本工作原理（以出口基本工作原理（以出口NATNAT为例）为例）l 在在IPIP层的出口处调用层的出口处调用NATNAT是否是LIST中允许的地址？建立新的HASH表项，记录有关转换信息,转换地址以及端口Yes是否是内部服务器的数据报由NATSERVER命令形成的关联表No转换源地址、源端口YesHASH表NoIP层Page 29l在在IPIP层的入口出调用层的入口出调用

16、NATNAT是否是到内部服务器的数据报？转换目的地址和端口Yes由NATSERVER命令形成的关联表是否是HASH表中的地址NoHASH表还原数据目的地址以及端口YesIP层NoPage 30透明的地址分配透明的地址分配l静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。l动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。Page 31NATNAT的基本工作方式：的基本工作方式：lNAT一对一的地址转换lPAT多对一的地址转换lNPAT多对多的地址转换Page 32lNATNAT方式方式Page

17、33NATNAT方式方式l在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。l在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单l只转换IP报文头中的IP地址，所以适用于所有IP报文转换Page 34PATPAT方式方式( 0: 1001 - 6: ( 0: 1001 - 6: 23) - 23) - (00:12964 - 6: 23) (00:12964 - 6: 23) (6: 23 - (200

18、.0.0.66: 23 - 00:12964) - 00:12964) - (6: 23 - 0: (6: 23 - 0: 1001) 1001) Page 35PATPAT方式方式lPAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。lPAT方式的地址转换是采用了“地址端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地址之间建立多对一映射。l不同

19、的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每一个内部网主机。Page 36NPATNPAT方式方式( 0: 1001 - 6: 23)( 0: 1001 - 6: 23) - - (00:12964 - 6: 23) (00:12964 - 6: 23) (6: 23 - 00:12964)(6: 23 - 00:12964) -

20、- (6: 23 - 0: 1001) (6: 23 - 0: 1001) Page 37NPATNPAT方式方式lNPAT（Nat & Port Address Translation）方式的地址转换也是利用了TCP/UDP协议的端口号，进行地址转换。l私网地址和公网地址之间建立了多对多的映射关系。lNPAT方式也是采用“地址端口”的映射关系，因此可以使内部局域网的多个主机共享多个IP地址访问Internet。Page 38l利用利用ACLACL控制地址转换控制地址转换Page 39不能访问Internet可以使用地址转换访问Internetl支持多个方向上负载分担应用支持多个方向上负载分担应用NAT RouterISP1PC1Ethernet内部网络PC2ISP2Page 40地址转换的优点：地址转换的优点：l地址转换可以使内部网络用户方便的访问Internet。l地址转换可以使内部局域网的许多主机共享一个IP地址上网。l地址转换可以屏蔽内部网络的用户，提高内部网络的安全性。l地址转换同样可以提供给外部网络WWW、FTP、Telnet服务。Page 41地址转换的缺点：地址转换的缺点：l地址转换对于报文内容中含有有用的地址信息的