第6章2ACL NAT

1、第六章第六章 路由器的高级功路由器的高级功能访问控制列表配置能访问控制列表配置路由器的高级功能路由器的高级功能访问控制列表配置访问控制列表配置主讲主讲: :肖川肖川ACL配置配置 路由器的高路由器的高级功能访级功能访问控制列表问控制列表配置配置本本 课课 目目 录录ACL概述概述 NAT配置配置 FDDIu管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据TokenRing为什么要使用访问列表为什么要使用访问列表FDDITokenRingInternetu管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据u当数据通过路由器时进行过滤当数据通过

2、路由器时进行过滤为什么要使用访问列表为什么要使用访问列表访问列表的应用访问列表的应用u允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器u允许、拒绝允许、拒绝Telnet会话的建立会话的建立u没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输QueueList优先级判断优先级判断基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用QueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯

3、应用访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourc

4、eand DestinationProtocol什么是访问列表什么是访问列表6 ACL概述概述ACL概述概述防火墙作为防火墙作为Internet访问控制的基本技术，其主访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。网络并保障合法用户正常工作。 一般应将防火墙置于被保护网络的入口点来执一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设置在内部网行访

5、问控制。例如，将防火墙设置在内部网和外部网的连接处，以保护内部网络或数据和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用户访问，防止来免于为未认证或未授权的用户访问，防止来自外网的恶意攻击。也可以用防火墙将企业自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离网中比较敏感的网段与相对开放的网段隔离开来，对受保护数据的访问都必须经过防火开来，对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。墙的过滤，即使该访问是来自组织内部。 6 ACL概述概述ACL概述概述n防火墙可通过监测、限制、更改跨越防火墙可通过监测、限制、更改跨越防火墙的数据流

6、，尽可能地对外部屏防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。现在的以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点，许多防火墙同时还具有一些其它特点，如进行用户身份鉴别，对信息进行安如进行用户身份鉴别，对信息进行安全（加密）处理等等。在路由器上配全（加密）处理等等。在路由器上配置了防火墙特性后，路由器就成了一置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。个健壮而有效的防火墙。 6 ACL概述概述ACL概述概述2. 防火墙的分类防火墙的分类 n一般把防火墙分为两类：网络层防火墙、应一般把防

7、火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数址和目的端口等或者直接获取包头的一段数据，而应用层的防火墙则对整个信息流进行据，而应用层的防火墙则对整个信息流进行分析。分析。 6 ACL概述概述ACL概述概述常见的防火墙有以下几类常见的防火墙有以下几类： 应用网关：检验通过网关的所有数据包中的应用层数据应用网关：检验通过网关的所有数据包中的应用层数据。包过滤：对每个数据包按照用户所定义的项目进行过滤，包过滤：对每个数据包按照

8、用户所定义的项目进行过滤，如比较数据包的源地址、目的地址是否符合规则等。如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定包过滤不管会话的状态，也不分析数据。如用户规定允许端口是允许端口是21或者大于等于或者大于等于1024的数据包通过，则只的数据包通过，则只要端口符合该条件，数据包便可以通过此防火墙。若要端口符合该条件，数据包便可以通过此防火墙。若配置的规则比较符合实际应用的话，在这一层能过滤配置的规则比较符合实际应用的话，在这一层能过滤掉很多有安全隐患的数据包。掉很多有安全隐患的数据包。代理：一般位于一台代理服务器或路由器上。它的机制是代理：一般位

9、于一台代理服务器或路由器上。它的机制是将网内主机的将网内主机的IP地址和端口替换为服务器或路由器的地址和端口替换为服务器或路由器的IP地址和端口。使用代理服务器可以让所有的外部网地址和端口。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现，络的主机与内部网络之间的访问都必须通过它来实现，这样可以控制对内部网络中具有重要资源的机器的访这样可以控制对内部网络中具有重要资源的机器的访问。问。 IP包过滤技术介绍包过滤技术介绍n对路由器需要转发的数据包，先获取包头信息，然后和设定对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行

10、转发或者丢的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。弃。而实现包过滤的核心技术是访问控制列表。(华华3的的VRP【通用路由平台通用路由平台】可以支持静态包过滤也可以支持动态可以支持静态包过滤也可以支持动态ASPF,相当于思科的相当于思科的CBAC)RInternet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处ACL概述概述访问控制列表的作用访问控制列表的作用n访问控制列表可以用于防火墙；访问控制列表可以用于防火墙；n访问控制列表可以用于访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；

11、），对数据流量进行控制；n在在DCC中，访问控制列表还可用来规定触发拨中，访问控制列表还可用来规定触发拨号的条件；号的条件；n访问控制列表还可以用于地址转换；访问控制列表还可以用于地址转换；n在配置路由策略时，可以利用访问控制列表来在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。（例如对不同级别用户）作路由信息的过滤。（例如对不同级别用户）ACL概述概述访问控制列表是什么？访问控制列表是什么？n一个一个IP数据包如下图所示（图中数据包如下图所示（图中IP所承载的所承载的上层协议为上层协议为TCP/UDP）：）：IP报头报头TCP/UDP报报头头数据数据协议号协议号源地址源地址目的地址

12、目的地址源端口源端口目的端口目的端口对于对于TCP/UDP来说，这来说，这5个元素组成了一个个元素组成了一个TCP/UDP相关，访问控制相关，访问控制列表就是利用这些元素定列表就是利用这些元素定义的规则义的规则ACL概述概述标准访问列表和扩展访问列表比较标准访问列表和扩展访问列表比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99标准访问控制列表标准访问控制列表n标准访问控制列表只使用源地

13、址描述数据，标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。表明是允许还是拒绝。从从/24来的数据包可以来的数据包可以通过！通过！从从/24来的数据包不能来的数据包不能通过！通过！路由器路由器ACL概述概述思科配置标准思科配置标准ACLn第一步：定义访问控制列表第一步：定义访问控制列表nRouter(config)#access-list access-list-number permit | deny source|any source- wildcard logn access-list-number： ACL标识号码，十进制。可选

14、范围为标识号码，十进制。可选范围为199；ndeny | permit ： deny拒绝转发（丢弃），拒绝转发（丢弃），permit允许转允许转发；发；nsource | any ： 数据包的源地址（主机地址或网络号），数据包的源地址（主机地址或网络号）， any表示所有地址；表示所有地址；nsource- wildcard ： 通配符掩码。通配符掩码。nRouter(config-if)#ip access-group an第二步：把访问控制列表应用到某一接口上第二步：把访问控制列表应用到某一接口上nACL就好象门卫一样对进出就好象门卫一样对进出“大门大门”（端口）的数据进行过（端口）的数据

15、进行过滤，如果这个门卫没有设置在门口（端口），那么就不能起滤，如果这个门卫没有设置在门口（端口），那么就不能起到应有的作用，所以到应有的作用，所以ACL一定要放置在端口上才能生效。此一定要放置在端口上才能生效。此外外ACL还有方向性，有还有方向性，有in和和out两个方向两个方向n 第三步：查看访问控制列表第三步：查看访问控制列表 通配符掩码通配符掩码怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?如何使用反掩码如何使用反掩码n反掩码和子网掩码相似，但写法不同：反掩码和子网掩码相似，但写法不同：u0表示需要比较表示需要比较u1表示忽略比较表示忽略比较n反掩码和反掩码

16、和IP地址结合使用，可以描述一个地地址结合使用，可以描述一个地址范围。址范围。000255只比较前只比较前24位位003255只比较前只比较前22位位0255 255255只比较前只比较前8位位ACL配置配置access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标

17、准访问列表举例 23E0S0E1Non-Deny a specific host在路由器上过滤在路由器上过滤vtyu五个虚拟通道五个虚拟通道 (0 到到 4)u路由器的路由器的vty端口可以过滤数据端口可以过滤数据u在路由器上执行在路由器上执行vty访问的控制访问的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制如何控制vty访问访问01 234Virt

18、ual ports (vty 0 through 4)Physical port (e0) (Telnet) 使用标准访问列表语句使用标准访问列表语句 用用 access-class 命令应用访问列表命令应用访问列表 在所有在所有vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e0虚拟通道的配置虚拟通道的配置 指明指明vty通道的范围通道的范围 在访问列表里指明方向在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line

19、)#虚拟通道访问举例虚拟通道访问举例只允许网络只允许网络 内的主机连接路由器的内的主机连接路由器的 vty 通道通道access-list 12 permit 55!line vty 0 4 access-class 12 inControlling Inbound Access扩展访问控制列表扩展访问控制列表n扩展访问控制列表使用除源地址外更多的信扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。息描述数据包，表明是允许还是拒绝。从从/24来的来的,到到0的，的，

20、使用使用TCP协议，协议，利用利用HTTP访问的访问的数据包可以通过！数据包可以通过！路由器路由器ACL配置配置思科扩展访问控制列表思科扩展访问控制列表nRouter(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established lognaccess-list-number：ACL标识号码。可选范围为标识号码。可选范围为100199；ndeny | permit ： 如果

21、匹配如果匹配deny拒绝转发，拒绝转发，permit允许转允许转发；发；nprotocol ：协议类型，可是：协议类型，可是ip，icmp，tcp和和udp等，等，nsource source-wildcard ：数据包源地址和与其匹配的通配：数据包源地址和与其匹配的通配符掩码（主机地址或网络号）；符掩码（主机地址或网络号）；ndestination destination-wildcard：数据包目的地址和与其：数据包目的地址和与其匹配的通配符掩码（主机地址或网络号）；匹配的通配符掩码（主机地址或网络号）；noperator :：操作符；：操作符；nEstablished ：如果数据包使用一

22、个已建连接，便可允许如果数据包使用一个已建连接，便可允许tcp信息通过。信息通过。扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法操作符及语法意义意义equal portnumber等于端口号等于端口号 portnumbergreater-than portnumber大于端口号大于端口号portnumberless-than portnumber小于端口号小于端口号portnumbernot-equal portnumber不等于端口号不等于端口号portnumberrangeportnumber1 portnumber2介于端口号介于端口号portnumber1 和和p

23、ortnumber2之间之间ACL配置配置ip access-group access-list-number in | out 扩展扩展 IP 访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表 设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config)# Route

24、r(config-if)# n拒绝子网拒绝子网 通过通过ftp到子网到子网3E0S0E1Non-扩展访问列表应用举例扩展访问列表应用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20n拒绝子网拒绝子网 通过通过ft

25、p到子网到子网 n允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 13E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)

26、(access-list 101 deny ip 55 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.

27、0 55 55)interface ethernet 0ip access-group 101 outn拒绝子网拒绝子网 通过通过ftp到子网到子网 n允许其它数据允许其它数据n应用在路由器应用在路由器E0接口的出方向上接口的出方向上扩展访问列表应用举例扩展访问列表应用举例 13E0S0E1Non-n拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Tel

28、net会话会话n允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23n拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话n允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23E0S0E1Non-acc

29、ess-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 outn拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 E0 端

30、口建立端口建立Telnet会话会话n允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23E0S0E1Non-使用名称访问列表使用名称访问列表Router(config)#ip access-list standard | extended name 适用于适用于IOS版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致使用名称访问列表使用名称访问列表Router(config)#ip access-list standard | extended name permit |

31、deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)# 适用于适用于IOS版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致 允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表Router(config)# ip access-list standar

32、d | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 使用名称访问列表使用名称访问列表 适用于适用于IOS版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致

33、允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表 在端口上应用访问列表在端口上应用访问列表访问列表配置准则访问列表配置准则n访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的n将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面n使用使用 no access-list number 命令删除完整的访问列表命令删除完整的访问列表例外例外: 名称访问列表可以删除单独的语句名称访问列表可以删除单独的语句n隐含声明隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句

34、permitu将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置u将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0TokenRing访问列表的放置原则访问列表的放置原则推荐：推荐：wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command

35、 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies a

36、re never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表查看访问列表的语句查看访问列表的语句wg_ro_a#show access-lists access-list number

37、wg_ro_a#show protocol access-list access-list number wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host 10.44.44.

38、1 any eq ftp-data华华3设备标准访问控制列表的配置设备标准访问控制列表的配置n配置标准访问列表的命令格式如下：配置标准访问列表的命令格式如下：uacl acl-number match-order auto | config urule normal | special permit | deny source source-addr source-wildcard | any 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?ACL配置配置华华3扩展访问控制列表的配置命令扩展访问控制列表的配置命令n配置配置TCP/UDP协议的扩展访问列表：协议的扩展

39、访问列表：urule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 loggingACL配置配置华华3扩展访问控制列表的配置命令扩展访问控制列表的配置命令n配置配置ICMP协议的扩展访问列表：协议的扩展访问列表：urule normal | specia

40、l permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingn配置其它协议的扩展访问列表：配置其它协议的扩展访问列表：urule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest-

41、wildcard | any loggingACL配置配置扩展访问控制列表举例扩展访问控制列表举例/16ICMP主机重定向报文主机重定向报文rule deny icmp source 55 destination any icmp-type host-redirectrule deny tcp source 55 destination 55 destination-port equal www logging/16TCP报文报文202.38.16

42、0.0/24WWW 端口端口ACL配置配置如何使用访问控制列表如何使用访问控制列表n防火墙配置常见步骤：防火墙配置常见步骤：u启用防火墙启用防火墙u定义访问控制列表定义访问控制列表u将访问控制列表应用到接口上将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上ACL配置配置防火墙的属性配置命令防火墙的属性配置命令n打开或者关闭防火墙打开或者关闭防火墙ufirewall enable | disable n设置防火墙的缺省过滤模式设置防火墙的缺省过滤模式ufirewall default permit|deny n显示防火墙的状态信息显示防火墙的状态信息ud

43、isplay firewallACL配置配置在接口上应用访问控制列表在接口上应用访问控制列表n将访问控制列表应用到接口上将访问控制列表应用到接口上n指明在接口上是指明在接口上是OUT还是还是IN方向方向n在接口视图下配置：在接口视图下配置：firewall packet-filter acl-number inbound | outboundEthernet0访问控制列表访问控制列表101作用在作用在Ethernet0接口接口在在out方向有效方向有效Serial0访问控制列表访问控制列表3作用在作用在Serial0接口接口上上在在in方向上有效方向上有效ACL配置配置基于时间段的包过滤基于时

44、间段的包过滤n“特殊时间段内应用特殊的规则特殊时间段内应用特殊的规则”Internet上班时间上班时间（上午（上午8：00 下午下午5：00）只能访问特定的站点；其余只能访问特定的站点；其余时间可以访问其他站点时间可以访问其他站点ACL配置配置时间段的配置命令时间段的配置命令ntime range 命令命令utimerange enable | disable nsettr 命令命令usettr begin-time end-time begin-time end-time . uundo settrn显示显示 isintr 命令命令udisplay isintrn显示显示 timerange

45、 命令命令udisplay timerangeACL配置配置访问控制列表的组合访问控制列表的组合n一条访问列表可以由多条规则组成一条访问列表可以由多条规则组成,对于这些规则，有对于这些规则，有两种匹配顺序：两种匹配顺序：auto和和config。n规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为auto（深度优先），（深度优先），描述的描述的地址范围越小的规则，将会优先考虑。地址范围越小的规则，将会优先考虑。u深度的判断要依靠通配比较位和深度的判断要依靠通配比较位和IP地址结合比较地址结合比较nrule deny 55 nrule permit 202.

46、38.160.0 55 两条规则结合则表示禁止一个大网段两条规则结合则表示禁止一个大网段 （）上的主机但）上的主机但允许其中的一小部分主机（允许其中的一小部分主机（）的访问。）的访问。n规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为config，先配置的规则会被，先配置的规则会被优先考虑。优先考虑。ACL配置配置n NAT6 地址转换的提出背景地址转换的提出背景NAT概述概述n地址转换是在地址转换是在IP地址日益短缺的情况下提出地址日益短缺的情况下提出的。的。n一个局域网内部有很多台主机，可是不能保一个局域网内部有很多台主机，可是不能

47、保证每台主机都拥有合法的证每台主机都拥有合法的IP地址，为了到达地址，为了到达所有的内部主机都可以连接所有的内部主机都可以连接Internet网络的网络的目的，可以使用地址转换。目的，可以使用地址转换。n地址转换技术可以有效的隐藏内部局域网中地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保的主机，因此同时是一种有效的网络安全保护技术。护技术。n同时地址转换可以按照用户的需要，在内部同时地址转换可以按照用户的需要，在内部局域网内部提供给外部局域网内部提供给外部FTP、WWW、Telnet服务。服务。6 NAT概述概述NAT概述概述地址转换地址转换 NAT（Networ

48、k Address Translation）又称地址代理，它实现了私有）又称地址代理，它实现了私有网络访问外部网络的功能。网络访问外部网络的功能。 私有地址是指内部网络或主机地址，公有地址私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的是指在因特网上全球唯一的IP地址。因特网地址。因特网地址分配组织规定将下列的地址分配组织规定将下列的IP地址被保留用地址被保留用作私有地址：作私有地址： n 55 n 55 n 55 这三个范围内的地址不会在因特网上

49、被分配，这三个范围内的地址不会在因特网上被分配，它们仅在一个单位或公司内部使用。它们仅在一个单位或公司内部使用。私有地址和公有地址私有地址和公有地址InternetLAN1LAN2LAN3私有地址范围：私有地址范围： - 55 - 55 - 55NAT概述概述地址转换的原理地址转换的原理Internet局域网局域网PC2PC1IP:Port:3000IP 报文报文IP:202.0.

50、0.1Port:4000IP:Port:3010IP:Port:4001地址转换地址转换NAT概述概述6 NAT地址转换的优缺点地址转换的优缺点 NAT概述概述(1) 地址转换的优点在于：地址转换的优点在于：内部网络的主机可以通过该功能访问网外资源。内部网络的主机可以通过该功能访问网外资源。为内部主机提供了为内部主机提供了“隐私隐私”（Privacy）保护。）保护。 (2) 地址转换的缺点如下：地址转换的缺点如下：由于需要对数据报文进行由于需要对数据报文进行 IP地址的转换，涉及地址的转换，涉及 IP地址的数据报的报头不能被加密。在应用协议地址的数据报的报头不

51、能被加密。在应用协议中，不能使用加密的中，不能使用加密的 FTP连接。否则连接。否则 FTP的的 port命令不能被正确转换。命令不能被正确转换。网络调试变得更加困难。如某一台内部网络的主网络调试变得更加困难。如某一台内部网络的主机试图攻击其它网络，则很难指出是哪一台机机试图攻击其它网络，则很难指出是哪一台机器是恶意的，因为主机的器是恶意的，因为主机的IP地址被屏蔽了。地址被屏蔽了。6 NAT地址转换的优缺点地址转换的优缺点 NAT概述概述地址转换机制地址转换机制 n地址转换的机制将网内主机的地址转换的机制将网内主机的IP地址和端口地址和端口号替换为外部网络地址和端口号，实现号替换为外部网络地

52、址和端口号，实现与与之间之间的一个转换过程的一个转换过程。 地址转换的特征地址转换的特征 n对用户透明的地址分配（对外部地址的分对用户透明的地址分配（对外部地址的分配配）。）。n可以达到一种可以达到一种“透明路由透明路由”的效果。这里的的效果。这里的路由是指转发路由是指转发 IP 报文的能力，而不是一种交报文的能力，而不是一种交换路由信息的技术。换路由信息的技术。 利用利用ACL控制地址转换控制地址转换n可以使用访问控制列表来决定那些主机可以可以使用访问控制列表来决定那些主机可以访问访问Internet，那些不能。，那些不能。Internet局域网局域网PC2PC1设置访问控制列表控设置访问控

53、制列表控制制pc1可以通过地址可以通过地址转换访问转换访问Internet,而而pc2则不行。则不行。NAT概述概述Easy IP特性特性nEasy IP：在地址转换的过程中直接使用接：在地址转换的过程中直接使用接口的口的IP地址作为转换后的源地址。地址作为转换后的源地址。Internet局域网局域网PC2PC1PC1 和和 PC2 可以直接可以直接使用使用 S0接口的接口的IP 地址地址作为地址转换后的公用作为地址转换后的公用IP地址地址S0:NAT概述概述使用地址池进行地址转换使用地址池进行地址转换n地址池用来动态、透明的为内部网络的用户分地址池用来动态、透明的为内部网络

54、的用户分配地址。它是一些连续的配地址。它是一些连续的IP地址集合，利用不地址集合，利用不超过超过32字节的字符串标识。字节的字符串标识。n地址池可以支持更多的局域网用户同时上网。地址池可以支持更多的局域网用户同时上网。Internet局域网局域网PC2PC1地址池地址池NAT概述概述内部服务器的应用内部服务器的应用InternetR内部服务器外部用户外部用户E0Serial 0内部地址内部地址:内部端口内部端口:80外部地址外部地址:外部端口外部端口:80IP

55、:配置地址转换配置地址转换:IP地址地址:端口端口:8080允许外部用户访问允许外部用户访问内部服务器内部服务器NAT概述概述NAT（内网外网（内网外网实现流程实现流程Internet内部网络内部网络/8NAT路由器路由器公用地址池公用地址池 公网地址公网地址私网地址私网地址私网端口私网端口公网端口公网端口10011044DI:,SI:DP:21,SP:1001DI:6.1.128.

56、1,SI:DP:21,SP:1044DI:,SI:DP:1001,SP:21NAT路由器查找地址表路由器查找地址表NAT路由器增加路由器增加地址转换表项地址转换表项12345DI:,SI:DP:1044,SP:21NAT概述概述NAT（外网内网（外网内网实现流程实现流程公网地址公网地址私网地址私网地址私网端口私网端口公网端口公网端口2121Internet内部网络内部网络/8NAT路由器路由器公用地址池公用地址池 202.0

57、.0.2DI:,SI:DP:21,SP:1044DI:,SI:DP:1044,SP:21DI:,SI:DP:1044,SP:21路由器查找地址转换表并路由器查找地址转换表并实施地址转换实施地址转换路由器查找地址转换路由器查找地址转换表并实施地址转换表并实施地址转换12345FTP客户客户FTP服务器服务器6DI:,SI:DP:21,SP:1044 静态配置地址转换表项静态配置地址转换表项NAT概述概述静态

58、静态NATnip nat inside source static内部地址内部地址 外部外部地址地址 nint s 2/0nip nat outside nint fa 0/0nip nat inside动态动态NATnaccess-list 10 permit 55 定义定义标准访问控制列表标准访问控制列表nip nat pool nattest 4 netmask 40 定义地址池定义地址池nip nat inside source list 10 pool nattest overl

59、oadnint s2/0nip nat outsidenint fa 0/0nip nat insidenint fa 1/0nip nat inside端口端口NATnip route naccess-list 10 permit 55 定义访问控制列表定义访问控制列表nip nat inside source list 10 interface ser0/1/0 overload 将将10ACL所抓去的地址映射到所抓去的地址映射到s0/1/0端口端口nint fa 0/0nip nat insidenint

60、 ser 0/1/0nip nat outsiden 华三华三NAT配置配置NAT配置命令配置命令n定义定义NAT的地址池（系统视图）的地址池（系统视图）natnat address-group address-group start-start-addraddr end- end-addraddr pool-name pool-namen设置访问控制列表与地址池相互关联设置访问控制列表与地址池相互关联(接口视图接口视图)natnat outbound outbound aclacl-number-number address-group address-group pool-namepool