Download
1 / 34
340 likes | 563 Views
计通 1718 班. 计算机通信网. 安徽邮电职业技术学院计算机系 赵正红 2009/2010 学年第一学期. 第七章 ACL 与 NAT. ACL NAT. 一 .ACL. ( 一 )IP 包过滤技术 ( 二 )ACL 简介 ( 三 )ACL 配置 ( 四 ) 案例. 一 .ACL. ( 一 )IP 包过滤技术 出于安全的考虑 , 在网络设备对数据转发之前 , 往往需要对数据进行区分 : 判断出哪些是授权的数据 , 哪些是未授权的数据 , 这就是包过滤. 一 .ACL. ( 二 )ACL 简介
E N D
计通1718班 计算机通信网 安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
第七章 ACL与NAT • ACL • NAT Company Logo
一.ACL (一)IP包过滤技术 (二)ACL简介 (三)ACL配置 (四)案例 Company Logo
一.ACL (一)IP包过滤技术 出于安全的考虑,在网络设备对数据转发之前,往往需要对数据进行区分:判断出哪些是授权的数据,哪些是未授权的数据,这就是包过滤. Company Logo
一.ACL (二)ACL简介 1.ACL—Access Control List访问控制列表 2.组成:由一系列规则组成的列表,每个规则包含: • 数据包的特征 • 数据包的处理 3.ACL的作用: 决定什么的数据包可以做什么样的事情, 可用于防火墙,QOS,路由策略等 4.分类: 基于接口: 1000-1999 基本: 2000-2999 高级: 3000-3999 基于MAC:4000-4999 Company Logo
一.ACL (三)ACL配置 1.基本ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny source 源IP 反掩码/any 举例: Company Logo
一.ACL (三)ACL配置 1.基本ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny source 源IP 反掩码/any 举例: Company Logo
一.ACL acl number 2001 rule 1 permit source 202.110.10.0 0.0.0.255 rule 2 deny source 192.110.10.0 0.0.0.255 Company Logo
一.ACL (三)ACL配置 1.高级ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny 协议 源IP 反掩码 /any 目的IP 反掩码 源端口列表 目的端口列表 Company Logo
10.1.0.0/16 10.1.0.0/16 ICMP主机重定向报文 一.ACL • acl number 3001 • rule 10 deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect Company Logo
129.9.0.0/16 TCP报文 WWW 端口 129.9.0.0/16 202.38.160.0/24 202.38.160.0/24 一.ACL • acl number 3002 • rule 10 deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging Company Logo
一.ACL (三)ACL配置 3.基于MAC的ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny 目的MAC 掩码 源MAC 掩码 Company Logo
一.ACL (四)案例: 将ACL用于防火墙 步骤: 1.开启防火墙 Firewall enable/disable 2.配置ACL:略 3.将ACL应用于接口 Firewall packet-filter ACLnumber inbound/outbound 举例:P251 Company Logo
一.ACL • 组网需求:某公司通过 Router 的接口Serial2/0 访问Internet,Router 与内部网通过接口Ethernet1/0 连接;公司内部对外提供 WWW、FTP 和Telnet 服务:公司内部子网为129.1.1.0。其中,内部FTP 服务器地址为129.1.1.1,内部Telnet 服务器地址为129.1.1.2,内部WWW 服务器地址为129.1.1.3;公司对外地址为20.1.1.1。在RouterA上配置了地址转换,这样公司内部主机可以访问Internet,公司外部主机可以访问公司内部的服务器; 通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器;内部网络只有特定主机可以访问外部网络。 假定外部特定用户的 IP 地址为20.3.3.3。 Company Logo
一.ACL Company Logo
一.ACL <Router> system-view [Router] firewall enable [Router] acl number 3001 [Router-acl-adv-3001] rule permit ip source 129.1.1.1 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.2 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.3 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.4 0 [Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit [Router] acl number 3002 [Router-acl-adv-3002] rule permit tcp source 20.3.3.3 0 destination 20.1.1.1 0 [Router-acl-adv-3002] rule permit tcp destination 20.1.1.1 0 destination-port gt 1024 [Router-acl-adv-3002] rule deny ip [Router-acl-adv-3002] quit [Router] interface ethernet 1/0 [Router-Ethernet1/0] firewall packet-filter 3001 inbound [Router-Ethernet1/0] quit [Router] interface serial 2/0 [Router-Serial2/0] firewall packet-filter 3002 inbound Company Logo
二.NAT (一)简介 (二)配置 (三)综合配置案例 Company Logo
(一).NAT简介 1.NAT---network address translationg,网络地址转换 2.NAT技术的背景 IPV4地址枯竭 Company Logo
(一)NAT简介 3.NAT原理 Company Logo
(一)NAT简介 4.利用ACL控制NAT Company Logo
(二)NAT配置 • 1.地址转换的一般配置步骤 • 定义一个访问控制列表,规定什么样的主机可以访问Internet。 • 采用EASY IP或地址池方式提供公有地址。 • 根据选择的方式(EASY IP方式还是地址池方式), 在连接Internet接口上允许地址转换。 • 根据局域网的需要,定义合适的内部服务器 Company Logo
(二)NAT配置 2.EASY IP 配置 --指在地址转换的过程中直接使用接口的IP地址作为转换后的源IP地址。 在接口视图下: nat outbound acl-number Company Logo
(二)NAT配置 举例: PC1和PC2的IP地址分别是192.168.1.1/24、192.168.1.2/24,允许PC1访问Internet,拒绝PC2访问Internet . Company Logo
(二)NAT配置 • 定义访问控制列表 system-view acl number 2000 rule 1 permit source 192.168.1.1 0.0.0.0 rule 2 deny source 192.168.1.2 0.0.0.0 rule 3 deny source any • 配置Easy IP system-view interface s0/0 ip address 202.0.0.1 24 nat outbound 2000 Company Logo
(二)NAT配置 3.使用地址池进行地址转换 (1)定义地址池 nat address-group group-numberstart-address end-address (2)在接口上使用地址池进行地址转换 nat outbound acl-number address-group group-number [ no-pat ] Company Logo
(二)NAT配置 举例: 允许LAN中的192.168.1.0/24网段的所有主机上Internet,其它网段的主机则不允许。可供共享使用的公网IP地址有:202.38.160.1~202.38.160.4 Company Logo
(二)NAT配置 • 定义访问控制列表 system-view acl number 2001 rule 1 permit 192.168.1.0 0.0.0.255 rule 2 deny any • 定义地址池 system-view nat address-group 1 202.38.160.1 202.38.160.4 • 在接口上应用NAT system-view interface s0/0 nat outbound 2001 address-group 1 Company Logo
(二)NAT配置 4.一对一的地址转换 (1)配置从内部地址到外部地址的一对一转换 nat static ip-addr1 ip-addr2 (2)使已经配置的NAT一对一转换在接口上生效 nat outbound static Company Logo
(二)NAT配置 5.内部服务器的应用 Company Logo
(二)NAT配置 内部服务器的配置命令 nat server [ vpn-instance vpn-instance-name ] protocol pro-type globalglobal-addr[global-port]insidehost-addr[host-port] 举例: nat server protocol tcp global 202.38.160.1 80 inside 10.0.1.1 80 Company Logo
(三)综合配置案例 Company Logo
(三)综合配置案例 firewall enable [H3C]firewall default permit [H3C]acl number 3000 match-order auto [H3C-acl-adv-3000]rule deny ip source any destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.1 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.2 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.3 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.4 0 destination any [H3C]acl number 3001 match-order auto [H3C-acl-adv-3001]rule deny ip source any destination any [H3C-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 [H3C-acl-adv-3001]rule permit tcp source any destination 202.38.160.1 0 destination-port gt 1024 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound [H3C-Serial0/0]firewall packet-filter 3001 inbound [H3C-Serial0/0]nat outbound 3000 [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.1 ftp [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.2 telnet [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.3 www Company Logo
思考:NAT技术是否能够完全解决IPV4地址枯竭问题?为什么?思考:NAT技术是否能够完全解决IPV4地址枯竭问题?为什么? 答:不能! Company Logo
Thank You ! 安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
