1 / 34

计算机通信网

计通 1718 班. 计算机通信网. 安徽邮电职业技术学院计算机系 赵正红 2009/2010 学年第一学期. 第七章 ACL 与 NAT. ACL NAT. 一 .ACL. ( 一 )IP 包过滤技术 ( 二 )ACL 简介 ( 三 )ACL 配置 ( 四 ) 案例. 一 .ACL. ( 一 )IP 包过滤技术 出于安全的考虑 , 在网络设备对数据转发之前 , 往往需要对数据进行区分 : 判断出哪些是授权的数据 , 哪些是未授权的数据 , 这就是包过滤. 一 .ACL. ( 二 )ACL 简介

Download Presentation

计算机通信网

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 计通1718班 计算机通信网 安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期

  2. 第七章 ACL与NAT • ACL • NAT Company Logo

  3. 一.ACL (一)IP包过滤技术 (二)ACL简介 (三)ACL配置 (四)案例 Company Logo

  4. 一.ACL (一)IP包过滤技术 出于安全的考虑,在网络设备对数据转发之前,往往需要对数据进行区分:判断出哪些是授权的数据,哪些是未授权的数据,这就是包过滤. Company Logo

  5. 一.ACL (二)ACL简介 1.ACL—Access Control List访问控制列表 2.组成:由一系列规则组成的列表,每个规则包含: • 数据包的特征 • 数据包的处理 3.ACL的作用: 决定什么的数据包可以做什么样的事情, 可用于防火墙,QOS,路由策略等 4.分类: 基于接口: 1000-1999 基本: 2000-2999 高级: 3000-3999 基于MAC:4000-4999 Company Logo

  6. 一.ACL (三)ACL配置 1.基本ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny source 源IP 反掩码/any 举例: Company Logo

  7. 一.ACL (三)ACL配置 1.基本ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny source 源IP 反掩码/any 举例: Company Logo

  8. 一.ACL acl number 2001 rule 1 permit source 202.110.10.0 0.0.0.255 rule 2 deny source 192.110.10.0 0.0.0.255 Company Logo

  9. 一.ACL (三)ACL配置 1.高级ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny 协议 源IP 反掩码 /any 目的IP 反掩码 源端口列表 目的端口列表 Company Logo

  10. 10.1.0.0/16 10.1.0.0/16 ICMP主机重定向报文 一.ACL • acl number 3001 • rule 10 deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect Company Logo

  11. 129.9.0.0/16 TCP报文 WWW 端口 129.9.0.0/16 202.38.160.0/24 202.38.160.0/24 一.ACL • acl number 3002 • rule 10 deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging Company Logo

  12. 一.ACL (三)ACL配置 3.基于MAC的ACL Acl number 标识 [match-order config/auto] Rule 规则编号 permit/deny 目的MAC 掩码 源MAC 掩码 Company Logo

  13. 一.ACL (四)案例: 将ACL用于防火墙 步骤: 1.开启防火墙 Firewall enable/disable 2.配置ACL:略 3.将ACL应用于接口 Firewall packet-filter ACLnumber inbound/outbound 举例:P251 Company Logo

  14. 一.ACL • 组网需求:某公司通过 Router 的接口Serial2/0 访问Internet,Router 与内部网通过接口Ethernet1/0 连接;公司内部对外提供 WWW、FTP 和Telnet 服务:公司内部子网为129.1.1.0。其中,内部FTP 服务器地址为129.1.1.1,内部Telnet 服务器地址为129.1.1.2,内部WWW 服务器地址为129.1.1.3;公司对外地址为20.1.1.1。在RouterA上配置了地址转换,这样公司内部主机可以访问Internet,公司外部主机可以访问公司内部的服务器; 通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器;内部网络只有特定主机可以访问外部网络。 假定外部特定用户的 IP 地址为20.3.3.3。 Company Logo

  15. 一.ACL Company Logo

  16. 一.ACL <Router> system-view [Router] firewall enable [Router] acl number 3001 [Router-acl-adv-3001] rule permit ip source 129.1.1.1 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.2 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.3 0 [Router-acl-adv-3001] rule permit ip source 129.1.1.4 0 [Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit [Router] acl number 3002 [Router-acl-adv-3002] rule permit tcp source 20.3.3.3 0 destination 20.1.1.1 0 [Router-acl-adv-3002] rule permit tcp destination 20.1.1.1 0 destination-port gt 1024 [Router-acl-adv-3002] rule deny ip [Router-acl-adv-3002] quit [Router] interface ethernet 1/0 [Router-Ethernet1/0] firewall packet-filter 3001 inbound [Router-Ethernet1/0] quit [Router] interface serial 2/0 [Router-Serial2/0] firewall packet-filter 3002 inbound Company Logo

  17. 二.NAT (一)简介 (二)配置 (三)综合配置案例 Company Logo

  18. (一).NAT简介 1.NAT---network address translationg,网络地址转换 2.NAT技术的背景 IPV4地址枯竭 Company Logo

  19. (一)NAT简介 3.NAT原理 Company Logo

  20. (一)NAT简介 4.利用ACL控制NAT Company Logo

  21. (二)NAT配置 • 1.地址转换的一般配置步骤 • 定义一个访问控制列表,规定什么样的主机可以访问Internet。 • 采用EASY IP或地址池方式提供公有地址。 • 根据选择的方式(EASY IP方式还是地址池方式), 在连接Internet接口上允许地址转换。 • 根据局域网的需要,定义合适的内部服务器 Company Logo

  22. (二)NAT配置 2.EASY IP 配置 --指在地址转换的过程中直接使用接口的IP地址作为转换后的源IP地址。 在接口视图下: nat outbound acl-number Company Logo

  23. (二)NAT配置 举例: PC1和PC2的IP地址分别是192.168.1.1/24、192.168.1.2/24,允许PC1访问Internet,拒绝PC2访问Internet . Company Logo

  24. (二)NAT配置 • 定义访问控制列表 system-view acl number 2000 rule 1 permit source 192.168.1.1 0.0.0.0 rule 2 deny source 192.168.1.2 0.0.0.0 rule 3 deny source any • 配置Easy IP system-view interface s0/0 ip address 202.0.0.1 24 nat outbound 2000 Company Logo

  25. (二)NAT配置 3.使用地址池进行地址转换 (1)定义地址池 nat address-group group-numberstart-address end-address (2)在接口上使用地址池进行地址转换 nat outbound acl-number address-group group-number [ no-pat ] Company Logo

  26. (二)NAT配置 举例: 允许LAN中的192.168.1.0/24网段的所有主机上Internet,其它网段的主机则不允许。可供共享使用的公网IP地址有:202.38.160.1~202.38.160.4 Company Logo

  27. (二)NAT配置 • 定义访问控制列表 system-view acl number 2001 rule 1 permit 192.168.1.0 0.0.0.255 rule 2 deny any • 定义地址池 system-view nat address-group 1 202.38.160.1 202.38.160.4 • 在接口上应用NAT system-view interface s0/0 nat outbound 2001 address-group 1 Company Logo

  28. (二)NAT配置 4.一对一的地址转换 (1)配置从内部地址到外部地址的一对一转换 nat static ip-addr1 ip-addr2 (2)使已经配置的NAT一对一转换在接口上生效 nat outbound static Company Logo

  29. (二)NAT配置 5.内部服务器的应用 Company Logo

  30. (二)NAT配置 内部服务器的配置命令 nat server [ vpn-instance vpn-instance-name ] protocol pro-type globalglobal-addr[global-port]insidehost-addr[host-port] 举例: nat server protocol tcp global 202.38.160.1 80 inside 10.0.1.1 80 Company Logo

  31. (三)综合配置案例 Company Logo

  32. (三)综合配置案例 firewall enable [H3C]firewall default permit [H3C]acl number 3000 match-order auto [H3C-acl-adv-3000]rule deny ip source any destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.1 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.2 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.3 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.4 0 destination any [H3C]acl number 3001 match-order auto [H3C-acl-adv-3001]rule deny ip source any destination any [H3C-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 [H3C-acl-adv-3001]rule permit tcp source any destination 202.38.160.1 0 destination-port gt 1024 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound [H3C-Serial0/0]firewall packet-filter 3001 inbound [H3C-Serial0/0]nat outbound 3000 [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.1 ftp [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.2 telnet [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.3 www Company Logo

  33. 思考:NAT技术是否能够完全解决IPV4地址枯竭问题?为什么?思考:NAT技术是否能够完全解决IPV4地址枯竭问题?为什么? 答:不能! Company Logo

  34. Thank You ! 安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期

More Related