第四讲访问控制列表与网络地址转换NAT

1、第四讲 访问控制列表与网络地址转换NAT ACL基本原理号码式访问列表（标准号码式和扩展号码式）命名式访问列表（标准命名式和扩展命名式）ACL控制vty（TELNET）访问及验证NAT和PAT基本原理动态和静态的NAT和PAT一、什么是ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的路由协议，如IP、IPX、AppleTalk等。内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，AC

2、L可以过滤网络中的流量，控制访问的一种网络技术手段。 ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。 ACL可以限制网络流量、提高网络性能 ；ACL提供对通信流量的控制手段； ACL是提供网络安全访问的基本手段。 二、ACL规则、设置要点（1）ACL的列表号指出了是那种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。（2）每协议、每接口、每方向的只能配置一个ACL。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。（3）

3、ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。 （4）最有限制性的语句应该放在ACL语句的首行。把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行。 （5）新的表项只能被添加到ACL的末尾。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。 （6）在将ACL应用到接口之前，一定要先建立ACL。（7）ACL语句不能被逐

4、条的删除，只能一次性删除整个ACL。 （8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。 （9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。 （10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。 （11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。 尽可能把IP标准ACL放置在离目标近的地方；尽可能把IP扩展ACL放置在离源地址近的地方。三、ACL分类（1）标准ACL和扩展ACL 标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及200026

5、99之间的数字作为表号。 （2）号码式ACL和命名式ACLACL的方向：in ACL:先处理，后路由Out ACL:先路由，后处理四、号码式ACL(一) 标准号码式ACL编号规则199和13001399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等配置标准号码式 ACL配置ACL规则access-list access-list-number permit | deny any | source source-wildcard time-range time-range-name Router(config)#应用ACLip access-group access-list-numbe

6、r in | out Router(config-if)#in表示应用到接口的入方向，对收到的报文进行检查out表示应用到接口的外出方向，对发送的报文进行检查标准号码式ACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。 （二）扩展号码式 ACL编号规则100199和20002699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制配置扩展号码式 ACL配置ACL规则access-list access-list-number deny | permit protocol any | source source-wildcard opera

7、tor port any | destination destination-wildcard operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Router(config)#应用ACLip access-group access-list-number in | out Router(config-if)#扩展号码式 ACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。 五、命名式 ACL（一）命名式

8、标准ACL配置标准名称ACLip access-list standard name | access-list-number Router(config)#应用ACLip access-group access-list-number in | out Router(config-if)#配置ACL规则 permit | deny any | source source-wildcard time-range time-range-name Router(config-std-nacl)#(二)、扩展命名式ACL配置扩展名称ACLip access-list extended name |

9、access-list-number Router(config)#应用名称ACLip access-group name in | out Router(config-if)#配置ACL规则 permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment Router(config-ext-nacl)#命名式 ACL配置示例验证A

10、CL实验在机房完成。六、控制vty（telnet）访问阻止用户远程登录路由器是困难的，因为路由器的活动端口是允许VTY访问的。(用扩展ACL)将访问控制列表应用到VTY线路上时，就不需要指定TELNET协议，应为vty隐含了TELNET,也不要指定目标地址。因此可以使用标准访问控制列表。配置方法：(1)定义：access-list 10 permit (2)应用：line vty 0 4 access-class 10 in学习目标通过本章的学习，希望您能够：掌握网络地址转换（NAT）的概念掌握NAT工作原理及配置方法掌握NAPT工作原理及配置方法七、网络地址转换（NAT）NAT概述地址空间不

11、足带来的问题NAT的用途NAT术语配置NATNAT的工作过程配置NAT配置NAPTNAPT的工作过程配置NAPT验证和诊断NAT转换NAT的注意事项NAT概念NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT的典型应用是将使用私有IP地址（RFC 1918

12、）的园区网络连接到Internet地址空间不足带来的问题注册IP地址空间将要耗尽，而internet的规模仍在持续增长随着internet的增长，骨干互联网路由选择表中的IP路由数据也在增加，这引发了路由选择算法的扩展问题NAT是一种节约大型网络中注册IP地址并简化IP寻址管理任务的机制，NAT已经标准化并在RFC1613中描述。 NAT的用途解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址但没注册网络改造中，避免更改地址带来的风险NAT术语术语定义内部本地IP地址分配给内部网络中的主机的I

13、P地址，通常这种地址来自RFC 1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC 1918定义的私有地址空间。简单转换条目(simple translation entry)将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目（extended translation entry）将一个IP地址和端口对映射到另一个IP

14、地址和端口（通常被称为端口地址转换）对的转换条目。NAT术语NAT转换包括多种不同类型，并可用于多种目的静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。(基于端口的地址转换)NAT的工作过程静态NATNAT的工作过程动态NAT配置NAT配置静态内部源地址转换指定一个内部接口和

15、一个外部接口配置静态转换条目Router(config-if)#ip nat inside | outside Router(config)#ip nat inside source static local-ip interface interface | global-ip 配置NAT配置静态端口地址转换指定一个内部接口和一个外部接口配置静态转换条目Router(config-if)#ip nat inside | outside Router(config)#ip nat inside source static tcp | udp local-ip local-port interfa

16、ce interface | global-ip global-port配置NAT配置动态NAT指定一个内部接口和一个外部接口定义IP访问控制列表定义一个地址池Router(config-if)#ip nat inside | outside Router(config)#access-list access-list-number permit | deny Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 配置NAT配置动态NAT配置动态转换条

17、目Router(config)#ip nat inside source list access-list-number interface interface | pool pool-name 配置示例NAPT 的工作过程配置NAPT指定一个内部接口和一个外部接口定义IP访问控制列表定义一个地址池Router(config-if)#ip nat inside | outside Router(config)#access-list access-list-number permit | deny Router(config)#ip nat pool pool-name start-ip en

18、d-ip netmask netmask | prefix-length prefix-length 配置NAPT配置多路复用动态转换条目配置NAPT转换中，必须使用overload关键字，这样路由器才会将源端口也进行转换，已达到地址超载的目的。如果不指定overload，路由器将执行动态NAT转换。Router(config)#ip nat inside source list access-list-number interface interface | pool pool-name overload配置示例验证和诊断NAT转换显示活动的转换条目显示转换的统计信息对转换操作进行调试清除所有的转换条目Router#show ip nat translations access-list-number | icmp | tcp | udp verbose Router# show ip nat statistics Router#debug ip nat address | event | rule-match Router# clear ip nat translation * NAT的注意事项NAT增加了延迟失去了端对端IP的Trac