企业网络规划与实施 课件 第11、12章 访问控制列表、网络地址转换

第11章访问控制列表11.1ACL的原理11.2ACL的配置11.3ACL的综合应用本章小结

11.1ACL的原理

1. ACL访问控制列表(AccessControlList，ACL)是应用在设备接口的指令列表(即规则)，如图11.1所示，在路由器接口上配置了ACL，可以实现禁止主机PC1访问服务器Server，允许主机PC2访问服务器Server。

图11.1ACL(1)

那么ACL如何进行访问控制呢？通常来说，我们常用的ACL读取的是网络层、传输层的报文头信息，其中包括源IP地址、目标IP地址、源端口号、目标端口号，ACL会根据预先定义好的规则对报文进行过滤，如图11.2所示。

图11.2ACL(2)

2. ACL的类型

ACL有很多类型，本章只介绍最常用的基本ACL和高级ACL。

(1)基本ACL会根据源IP地址来过滤数据包。

(2)高级ACL会根据源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包。

3. ACL的规则

每个ACL可以包含多个规则，路由器根据规则对数据包进行过滤，如图11.3所示。

图11.3ACL规则

11.2ACL的配置

11.2.1基本ACL的配置1. 创建基本ACL基本ACL基于源IP地址过滤数据包，列表号范围是2000～2999。

2. 将ACL应用于接口创建ACL后，只有将ACL应用于接口，ACL才会生效。

3. 路由器基本ACL配置案例

如图11.4所示，使用eNSP搭建实验环境，要求禁止PC1(IP地址为)访问服务器Server1，允许其他所有的访问流量。

图11.4路由器基本ACL配置案例

4. 交换机基本ACL配置案例

如图11.5所示使用eNSP搭建实验环境，要求禁止PC1访问服务器Server1，允许其他所有的访问流量。

图11.5交换机基本ACL配置案例

11.2.2高级ACL的配置

1. 创建高级ACL

高级ACL基于源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包，列表号是3000～3999。

2. 将ACL应用于接口

与基本ACL一样，只有将ACL应用于接口，ACL才会生效。

3. 高级ACL配置案例

如图11.6所示，使用eNSP搭建实验环境，要求如下：

(1) 允许Client1访问Server1的Web服务。

(2) 允许Client1访问网络/24。

(3) 禁止Client1访问其他网络。

图11.6高级ACL配置案例

测试：首先在Server1搭建Web服务，如图11.7所示。图11.7搭建Web服务

测试Client1可以访问Server1的Web服务，如图11.8所示。图11.8访问测试

11.3ACL的综合应用

如图11.9所示，公司网络建设规划如下：(1) 公司内每个部门使用一个VLAN，每个VLAN分配一个C类地址。(2) 使用MSTP实现VLAN负载均衡。(3) 双核心使用VRRP技术。

图11.9项目概述(1)

为了加强公司网络的内网安全，现在要求对其进行安全规划及配置，具体的需求如下：

(1) 网络设备只允许网管区IP登录。

(2) 各部门之间全机不能互通，但都可以和网管区互通。

(3) 财务部主机不能访问Internet。

(4) 各部门主机只能访问服务器的WWW服务。

(5) 只有网络管理员才能通过远程桌面来管理服务器。

因为本章主要介绍ACL的应用，所以对该实验进行简化，使用eNSP搭建实验环境，用路由器代替交换机，用路由器模拟WG主机。如图11.10所示，要求如下：

(1) AR1只允许WG主机登录，WG主机能ping通Server1和Client1。

(2) YF和CW主机之间不能互通，但都可以和WG互通。

(3) YF可以访问Client1。

(4) CW不能访问Client1。

(5) YF和CW只能访问Server1的WWW服务。

(6) 只有WG才能访问Server1的所有服务。

图11.10项目概述(2)

(6) 测试。WG能远程登录AR1，WG能ping通Server1和Client1。

YF()和CW()之间不能互通，但可以和WG()互通，如图11.11和图11.12所示。

图11.11项目测试(1)

图11.12项目测试(2)

YF()不能ping通Server1()，如图11.13所示。图11.13项目测试(3)

YF()能访问Server1()的WWW服务，如图11.14所示。

图11.14项目测试(4)

本章小结

我们常用的ACL读取的是网络层、传输层的报文头信息，包括源IP地址、目标IP地址、源端口号、目标端口号，根据预先定义好的规则对报文进行过滤，来实现访问控制。基本ACL会根据源IP地址来过滤数据包，列表号范围是2000～2999。高级ACL会根据源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包，列表号范围是3000～3999。

应用在接口的ACL只能通过由滤路由器转发的数据包，而不会通过由路由器始发的数据包。例如，在路由器上使用ping命令发出的数据包等，不会受到接口ACL的控制。

路由器对进入的数据包先检查入方向ACL，对允许传输的数据包才查询路由列表，而对于外出的数据包先查询路由列表，确定目标接口后再检查出方向ACL。因此，应该尽量把ACL应用到入站接口，可以减少对路由器不必要的资源的占用。第12章网络地址转换12.1NAT的原理与配置12.2PAT的原理与配置本章小结

12.1NAT的原理与配置

12.1.1NAT的原理1. NATNAT(NetworkAddressTranslation，网络地址转换)技术产生的背景是由于上网需求量巨大，导致IPv4公网地址短缺。如图12.1所示，内部网络中的主机可以使用私有地址，共用几个公网地址，由路由器做地址转换，从而实现上网的需求。

图12.1NAT(1)

那么路由器如何进行地址转换呢？路由器使用公网地址替换源IP地址，然后将数据包转发出去，如图12.2所示。图12.2NAT(2)

当数据包返回时，路由器又如何处理呢？路由器会记录一张NAT转换表。为了便于理解，我们看一下简化的NAT转换表，如表12-1所示。当数据包返回时，路由器根据NAT转换表再做处理。

2. NAT的类型

对于NAT的分类及名称，各厂商都有不同的标准。

NAT分为静态NAT和动态NAT。

1) 静态NAT

静态NAT实现了私有地址和公网地址的一对一映射，一个公网IP地址只会分配给唯一且固定的内网主机。静态转换是双向的，即内外网双方可以互相访问。

2) 动态NAT

动态NAT基于地址池来实现私有地址和公网地址的转换，虽然也是一对一映射，但不是固定的，在华为也称其为BasicNAT。动态转换是单向的，即只能从内网去访问外网，反之则不能访问。

12.1.2动态NAT的配置

如图12.3所示，使用eNSP搭建实验环境，该环境供本章所有实验使用。

动态NAT在实际工作中很少用到，这里通过一个实验来熟悉其配置，要求将内部网络地址/24转换为公网地址～0/28来访问外网，测试PC1能ping通Server3并抓包查看其地址转换过程。

图12.3动态NAT配置案例

在路由器G0/0/2接口处抓包，源地址已做转换，如图12.4所示。图12.4动态NAT抓包

此时在Server3上ping不通PC1，说明动态NAT是单向的，如图12.5所示。图12.5动态NAT的单向测试

动态NAT的地址转换过程如图12.6所示。图12.6动态NAT地址的转换过程

12.1.3静态NAT的配置

使用eNSP搭建实验环境，如图12.7所示。

要求将内部IP地址1/24、2/24静态转换为外部公有IP地址1/28、2/28，以便其访问外网(Server3)或被外网(Server3)访问，然后验证静态NAT是双向转换的，并且进行抓包分析。

图12.7静态NAT配置案例

查看NAT配置，如图12.8所示。图12.8查看NAT配置

(4) 测试：分别在Server1和Server2上可以ping通Server3。

在路由器G0/0/2口抓包，源地址已做转换，如图12.9所示。

图12.9静态NAT抓包(1)

在交换机Ethernet0/0/3口抓包，目的地址已做转换，如图12.10所示。图12.10静态NAT抓包(2)

12.2PAT的原理与配置

12.2.1PAT的原理PAT分为动态PAT和静态PAT。1.动态PAT动态PAT改变外出数据包的源IP地址和源端口并进行端口地址的转换，内部网络的所有主机均可共享一个合法的外部IP地址来访问互联网，从而最大限度地节约IP地址资源。与动态NAT一样，动态PAT也是单向的。

动态PAT包括NAPT和EasyIP，NAPT允许多个内部地址映射到同一个公有地址的不同端口；而EasyIP属于NAPT的一种特例，允许将多个内部地址映射到网关出接口地址上的不同端口，即公有地址直接使用网关设备的外网口。

2.静态PAT

静态PAT改变数据包的IP地址和端口号。与静态NAT一样，静态PAT也是双向的。

实际应用中一般是将内网的服务器发布出去，由外网发起向内网的访问，华为称之为NATServer。

12.2.2动态PAT的配置

1. NAPT的配置案例

如图12.11所示，公司要求将内部网络/24转换为一个公网地址0/28来实现上网(即可以访问Server3)。

图12.11NAPT配置案例

查看NAPT配置，如图12.12所示。图12.12查看NAPT配置

路由器G0/0/2口抓包，可以看到源端口为1320，如图12.13所示。图12.13NAPT抓包

总结NAPT的地址转换过程如图12.14所示。图12.14NAPT地址转换过程

2. EasyIP的配置案例

公司路由器外部接口是动态IP，如何使内部网络主机/24利用PAT上网？

公司要求将内部网络主机/24转换为路由器外部接口来实现上网(即可以访问Server3)，如图12.15所示。图12.15EasyIP配置案例

查看EasyIP配置，如图12.16所示。图12.16查看EasyIP配置

在路由器G0/0/2口抓包，可以看到源端口为40，如图12.17所示。图12.17EasyIP抓包

12.2.3静态PAT的配置

我们介绍实际应用比较多的NATServer，即将内网的服务器发布出去，由外网发起向内网的访问。

如图12.18所示，将内部地址1/24的80端口静态转换为公网地址1/28的80端口，将内部地址2/24的21端口静态转换为公网地址2/28的21端口，以便被外网(Client2)访问。图12.18NATServer配置案例

查看NATServer配置，如图12.19所示。图12.19查看NATServer配置

在交换机E0/0/3口抓包，可以看到源端口为2050，如图12.20所示。图12.20NATServer抓包

本章小结

NAT(NetworkAddressTranslation，网络地址转换)技术是改变数据包的IP地址，PAT技术(PortAddressTranslation，端口地址转换)是改变数据包的IP地址和端口号，PAT能够大量节省公网的IP地址，因此在实际工作中被广泛应用。NAT分为静态NAT和动态NAT(华为称之为BasicNAT)，PAT分为动态PAT(包括NAPT和EasyIP)和静态PAT(实际应用中比较多的是NATServer)。

静态NAT实现了私有地址和公网地址的一对一映射，一个公网IP地址只会分配给唯一且固定的内网主机。静态转换是双向的，即内外网双方可以互相访问。

动态NAT基于地址池来实现私有地址和公网地址的转换，虽然也是一对一映射，但不是固定的，动态转换是单向的，即只能从内网去访问外网，反之则不能访问。

动态PAT改变外出数据包的源IP地址和源端口并进