访问控制列表和地址转换及配置ISSUE1.0概念.ppt

访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny 55 rule permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑，缺省配置。 访问控制列表步长 ACL的步长是自动为ACL规则分配编号时，规则编号之间的差值，默认值为5. 规则一旦配置，如要更改序列号，只可以删除重新配置，会影响业务，所以设置步长可以在中间添加规则。 课程内容 访问控制列表 地址转换 访问控制列表与地址转换实例 地址转换的提出背景 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址和公有地址 Internet LAN1 LAN2 LAN3 私有地址范围： - 55 - 55 - 55 地址转换的原理 Internet 局域网 PC2 PC1 IP: Port:3000 IP 报文 IP: Port:4000 IP: Port:3010 IP: Port:4001 地址转换 利用ACL控制地址转换 可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。 Internet 局域网 PC2 PC1 设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。 地址转换的配置任务列表 定义一个访问控制列表，规定什么样的主机可以访问Internet。 采用EASY IP或地址池方式提供公有地址。 根据选择的方式（地址池方式还是Easy IP方式），在连接Internet接口上允许地址转换。 根据局域网的需要，定义合适的内部服务器。 Easy IP 配置 Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置： nat outbound acl-number interface Internet 局域网 PC2 PC1 PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址 S0: 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 Internet 局域网 PC2 PC1 地址池 使用地址池进行地址转换配置 使用地址池进行地址转换配置 定义地址池 nat address-group start-addr end-addr pool-name 在接口上使用地址池进行地址转换 nat outbound acl-number pool-name 内部服务器的应用 Internet 内部服务器 外部用户 E0 Serial 0 内部地址: 内部端口:80 外部地址: 外部端口:80 IP: 配置地址转换: IP地址: ←→ 端口: 80←→80 允许外部用户访问 内部服务器 内部服务器配置 内部服务器配置命令格式 nat server global global-addr { global-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } 此例的配置 nat server global 80 inside 80 tcp NAT的监控与维护 显示地址转换配置 display nat 设置地址转换连接有效时间 nat aging-time {tcp | udp | icmp} seconds nat aging-time default 清除地址转换连接 nat res