《網(wǎng)絡(luò)安全配置》PPT課件

1、第5章 網(wǎng)絡(luò)安全配置,中原工學(xué)院 計(jì)算機(jī)學(xué)院 網(wǎng)絡(luò)工程系,學(xué)習(xí)目標(biāo),掌握NAT動(dòng)態(tài)轉(zhuǎn)換配置方法,掌握NAT靜態(tài)轉(zhuǎn)換配置方法,掌握應(yīng)用IP ACL配置方法,掌握擴(kuò)展IP ACL定義方法,掌握標(biāo)準(zhǔn)IP ACL定義方法,5.1 ACL配置,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),ACL通過(guò)應(yīng)用訪問(wèn)控制列表到路由器接口 來(lái)管理流量和審視特定分組。 ACL適用于所有的路由協(xié)議，當(dāng)分組經(jīng)過(guò) 路由器時(shí)進(jìn)行過(guò)濾。 可在路由器上配置ACL以控制對(duì)某一網(wǎng)絡(luò) 或子網(wǎng)的訪問(wèn)。 ACL的定義必須基于協(xié)議。,訪問(wèn)

2、控制列表 （Access Control List，ACL）,是一個(gè)連續(xù)的允許和拒絕語(yǔ)句的集合，關(guān)系 到地址或上層協(xié)議。,（2）一個(gè)ACL的配置是每協(xié)議、每接口、每 方向的。 （3）ACL的語(yǔ)句順序決定了對(duì)數(shù)據(jù)包的控制 順序。 （4）最有限制性的語(yǔ)句應(yīng)放在ACL語(yǔ)句的首 行。 （5）在將ACL應(yīng)用到接口之前，一定要先建 立訪問(wèn)控制列表。 （6）ACL的語(yǔ)句 能被逐條地刪除，只能一次 性地刪除整個(gè)訪問(wèn)控制列表。 （7）在ACL的最后，有一條隱含的“全部拒絕” 的命令。 （8）ACL只能過(guò)濾穿過(guò)路由器的數(shù)據(jù)流量，不 能過(guò)濾路由器本身發(fā)出的數(shù)據(jù)包。,5.1 ACL配置,（1）ACL的列表號(hào)指出是哪種

3、協(xié)議的ACL,定義ACL時(shí)所應(yīng)遵循的規(guī)范：,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義標(biāo)準(zhǔn)IP訪問(wèn)列表,access-list access-list-number deny | permit source source-wildcard,access-list-number,deny,permit,source,source-wildcard,訪問(wèn)列表編號(hào),在匹配條件語(yǔ)句時(shí)，拒絕分組通過(guò),在匹配條件語(yǔ)句時(shí)，允許分

4、組通過(guò),發(fā)送分組的源地址，指定源地址方式如下： 32位點(diǎn)分十進(jìn)制。 使用關(guān)鍵字any，作為0.0.0.0 255.255.255.255的源地址和源地址通配符的縮寫字。,（可選項(xiàng)）通配符掩碼，指定源地址通配符掩碼方式如下： 32位點(diǎn)分十進(jìn)制。 使用關(guān)鍵字any，作為0.0.0.0 255.255.255.255的源地址和源地址通配符的縮寫字。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,通配符掩碼:,一個(gè)32比特的數(shù)字字符串。 0 表示檢查相應(yīng)位 1 表示不檢查相應(yīng)位,

5、通配符掩碼跟IP地址是成對(duì)出現(xiàn)的。在通配符 掩碼的地址位使用1或0表明如何處理相應(yīng)的IP 地址位。 ACL使用通配符掩碼來(lái)標(biāo)志一個(gè)或幾個(gè)地址是 被允許，還是被拒絕。,所有主機(jī): 0.0.0.0 255.255.255.255,簡(jiǎn)寫,any,特定的主機(jī)：172.30.16.29 0.0.0.0,簡(jiǎn)寫,host,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 標(biāo)準(zhǔn)訪問(wèn)列表允許IP地址范圍從 10.29.2.64到10.29.2.127的設(shè)備訪問(wèn)。,例 標(biāo)準(zhǔn)訪問(wèn)列表允許來(lái)自三

6、個(gè)指定網(wǎng)絡(luò)上的 主機(jī)訪問(wèn)。,例 為了更容易地指定大量單獨(dú)地址，如果通 配符掩碼都為0，可以忽略。因此，如下三個(gè) 配置效果是一樣的。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 來(lái)自10.8.1.0網(wǎng)絡(luò)的主機(jī)被限制訪問(wèn)該路由 器，但10.0.0.0網(wǎng)絡(luò)中所有其它IP主機(jī)被允許。 另外，地址10.8.1.23主機(jī)允許訪問(wèn)該路由器。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置

7、實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 應(yīng)用列表101過(guò)濾從以太網(wǎng)接口0出站的分組。,在接口配置模式下,前提模式：,命令格式：,功能：,應(yīng)用一個(gè)IP訪問(wèn)列表到一個(gè)接口,ip access-group access-list-name | access-list-number in | out,access-list-number,in,out,IP訪問(wèn)列表的號(hào)碼,入站過(guò)濾分組,出站過(guò)濾分組,access-list-name,IP訪問(wèn)列表名字,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 A

8、CL配置,例 定義訪問(wèn)列表只允許在網(wǎng)絡(luò)192.89.55.0上 的主機(jī)連接到路由器上虛擬終端端口。,在線路配置模式下,前提模式：,命令格式：,功能：,限制一個(gè)特定的vty之間的傳入和 傳出連接和在訪問(wèn)列表中的地址,access-class access-list-number in | out,in,out,在傳入連接限制,在傳出連接限制,access-list-number,IP訪問(wèn)列表的號(hào)碼,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,擴(kuò)展ACL,既可檢查分組的源地

9、址和目的地址，也 檢查協(xié)議類型和TCP或UDP的端口號(hào)。 可以基于分組的源地址、目的地址、協(xié) 議類型、端口地址和應(yīng)用來(lái)決定訪問(wèn)是 被允許或者被拒絕。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義擴(kuò)展IP訪問(wèn)列表,access-list access-list-number deny | permit protocol source source-wildcard destination destination-wil

10、dcard,access-list-number,deny,permit,protocol,source,source-wildcard,destination,destination-wildcard,訪問(wèn)控制列表編號(hào),如果條件符合就拒絕訪問(wèn),如果條件符合就允許訪問(wèn),Internet協(xié)議名稱或號(hào)碼,發(fā)送分組的網(wǎng)絡(luò)號(hào)或主機(jī),應(yīng)用于源地址的反向掩碼,分組的目的網(wǎng)絡(luò)號(hào)或主機(jī),應(yīng)用于目的地址的反向掩碼,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 串行接口0是地址為10.8

11、8.0.0的B類網(wǎng)絡(luò)的一 部分，郵件主機(jī)的地址為10.88.1.2。established 關(guān)鍵字只用在TCP協(xié)議，表示一個(gè)建立的連接。 如果TCP數(shù)據(jù)包中的ACK或RST被設(shè)置，那么匹 配發(fā)生，表明分組屬于一個(gè)存在的連接。,例 允許DNS分組和ICMP回送和回送回答分組。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 串行接口0連接路由器到Internet。IGMP 的host-report報(bào)文被禁止在任何內(nèi)部主機(jī)與 任何Internet上外部主機(jī)之間傳送。,例 以

12、太網(wǎng)接口0連接路由器到防火墻以訪問(wèn) Internet。為了確保Internet RIP報(bào)文不進(jìn)入 路由器，應(yīng)用了ACL104的拒絕RIP UDP報(bào) 文的入站過(guò)濾器。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,使用命名ACL有以下好處：,（1）直觀 （2）不受99條標(biāo)準(zhǔn)ACL和100條擴(kuò)展ACL的限制 （3）方便修改,在全局配置模式下,前提模式：,命令格式：,功能：,定義一個(gè)使用名稱或編號(hào)的IP訪問(wèn)列表,ip access-list standard | extende

13、d access-list-name | access-list-number,standard,extended,access-list-name,access-list-number,標(biāo)準(zhǔn)IP訪問(wèn)列表,擴(kuò)展IP訪問(wèn)列表,IP訪問(wèn)列表名稱,訪問(wèn)列表的編號(hào),ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 定義標(biāo)準(zhǔn)訪問(wèn)列表，命名為Internetfilter。,在實(shí)現(xiàn)命名ACL之前，需要考慮：,（1）11.2之前版本的Cisco IOS軟件不支持 命名ACL。 （2）不能

14、夠以同一名字命名多個(gè)ACL。,例 定義擴(kuò)展訪問(wèn)列表，命名為server-access,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 定義擴(kuò)展訪問(wèn)列表，命名為server-access,例 從標(biāo)準(zhǔn)命名ACL中刪除單獨(dú)的ACE。,例 從標(biāo)準(zhǔn)命名ACL中刪除單獨(dú)的ACE。,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,命令如下：,擴(kuò)展的ACL命令如下：

15、,放置ACL的一般原則是：,擴(kuò)展ACL盡可能放置在距離要被拒絕的 通信量近的地方。 標(biāo)準(zhǔn)ACL應(yīng)該盡可能放置在距離目的地 最近的地方。 如果要禁止PC3訪問(wèn)PC1，可以在網(wǎng)絡(luò)中 使用標(biāo)準(zhǔn)的ACL,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,使用的位置,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 查看全部ACL。,在用戶模式或特權(quán)模式下,前提模

16、式：,命令格式：,功能：,顯示當(dāng)前訪問(wèn)列表的內(nèi)容,show access-lists access-list-number | access-list-name,access-list-number,access-list-name,(可選項(xiàng)) 訪問(wèn)列表編號(hào),(可選項(xiàng)) 訪問(wèn)列表名稱,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,在特權(quán)模式下,前提模式：,命令格式：,功能：,顯示所有當(dāng)前IP訪問(wèn)列表的內(nèi)容,show ip access-list access-list-n

17、umber | access-list-name | interface interface-name in | out,access-list-number,access-list-name,interface interface-name,in,out,(可選項(xiàng)) IP訪問(wèn)列表編號(hào),(可選項(xiàng)) IP訪問(wèn)列表名稱,(可選項(xiàng)) 接口名稱,(可選項(xiàng)) 輸入接口統(tǒng)計(jì)信息,(可選項(xiàng)) 輸出接口統(tǒng)計(jì)信息,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 顯示所有訪問(wèn)列表。,例 顯

18、示指定名稱的訪問(wèn)列表。,例 顯示快速以太網(wǎng)接口0/0的輸入統(tǒng)計(jì)信息,ACL配置 ACL概述 配置標(biāo)準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.1 ACL配置,例 清除訪問(wèn)列表101的計(jì)數(shù)器。,在特權(quán)模式下,前提模式：,命令格式：,功能：,清除訪問(wèn)列表的計(jì)數(shù)器,clear access-list counters access-list-number | access-list-name,access-list-number,access-list-name,訪問(wèn)列表編號(hào),訪問(wèn)列表名稱,ACL配置 ACL概述 配置標(biāo)

19、準(zhǔn)ACL 應(yīng)用ACL 配置擴(kuò)展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護(hù)ACL NAT配置 實(shí)驗(yàn)練習(xí),5.2 NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation),靜態(tài)轉(zhuǎn)換Static Nat 動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 端口多路復(fù)用OverLoad,NAT的實(shí)現(xiàn)方式:,僅以增強(qiáng)的網(wǎng)絡(luò)狀態(tài)作為補(bǔ)充，而 忽略了IP地址端對(duì)端的重要性。,NAT解決方法的不足:,Inside Local IP Add

20、ress，內(nèi)部本地地址 Inside Global IP Address，內(nèi)部全局地址 Outside Local IP Address，外部本地地址 Outside Glocal IP Address，外部全局地址,NAT使用下列地址定義：,5.2 NAT配置,靜態(tài)NAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,靜態(tài)NAT命令格式：,功能：,啟用內(nèi)部源地址的NAT靜態(tài)轉(zhuǎn)換,ip nat inside source static local

21、-ip global-ip,內(nèi)部網(wǎng)絡(luò)主機(jī)本地IP地址,內(nèi)部主機(jī)全局IP地址,local-ip,global-ip,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,端口靜態(tài)NAT命令格式：,ip nat inside source static tcp | udp local-ip local-port global-ip global-port | interface global-port,網(wǎng)絡(luò)靜態(tài)NAT命令格式：,ip nat inside source static netw

22、ork local-network global-network mask,tcp,udp,local-port,global-port,傳輸控制協(xié)議,用戶數(shù)據(jù)報(bào)協(xié)議,本地TCP/UDP端口號(hào),全局TCP/UDP端口號(hào),local-network,global-network,mask,本地子網(wǎng)轉(zhuǎn)換,全局子網(wǎng)轉(zhuǎn)換,子網(wǎng)轉(zhuǎn)換使用的IP網(wǎng)絡(luò)掩碼,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在接口配置模式下,前提模式：,命令格式：,功能：,指定接口對(duì)NAT是流量來(lái)源或者目的,ip n

23、at inside | outside,inside,outside,（可選項(xiàng)）表明接口連接到外部網(wǎng)絡(luò),（可選項(xiàng)）表明接口連接到內(nèi)部網(wǎng)絡(luò),ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,例 靜態(tài)NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,（1）配置靜態(tài)NAT映射,（2）配置NAT內(nèi)部接口,（3）配置NAT外部接口,在PC0和PC1上ping 202.96

24、.1.2（路由器Router1的 串行接口1/0）,此時(shí)應(yīng)該是通的，路由器Router0 的輸出信息如下 ：,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,查看NAT表,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,動(dòng)態(tài)NAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)

25、練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義NAT的IP地址池,ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length,name,start-ip,end-ip,netmask netmask,prefix-length prefix-length,地址池名,地址池中起始IP地址,地址池中結(jié)束IP地址,地址池所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼,地址池所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼前綴長(zhǎng)度,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換

26、 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表 以允許地址被轉(zhuǎn)換,access-list access-list-number deny | permit source source-wildcard,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,啟用內(nèi)部源地址的NAT,ip nat inside source list access-li

27、st-number | access-list-name interface type number | pool name overload,access-list-number,access-list-name,interface type number,pool name,overload,標(biāo)準(zhǔn)IP訪問(wèn)列表的編號(hào),標(biāo)準(zhǔn)IP訪問(wèn)列表的名稱,全局地址的接口類型、編號(hào),全局IP地址動(dòng)態(tài)分配的地址池的名稱,（可選項(xiàng)）多個(gè)本地地址使用一個(gè)全局地址,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 N

28、AT配置,例 動(dòng)態(tài)NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,配置動(dòng)態(tài)NAT轉(zhuǎn)換的地址池。,配置動(dòng)態(tài)NAT映射。,允許動(dòng)態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在PC0和PC1上ping 202.96.1.2（路由器 Router1的串行接口1/0）,此時(shí)應(yīng)該是通的， 路由器Router0的輸出信息如下：,如果動(dòng)態(tài)地

29、址池中的沒有足夠的地址進(jìn)行動(dòng) 態(tài)映射，則會(huì)出現(xiàn)類似下面的信息，提示 NAT轉(zhuǎn)換失敗，并丟棄數(shù)據(jù)包。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,查看NAT轉(zhuǎn)換的統(tǒng)計(jì)信息。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,PAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)

30、練習(xí),5.2 NAT配置,例 配置PAT,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,（1）配置動(dòng)態(tài)NAT轉(zhuǎn)換的地址池,（2）配置PAT,（3）配置允許動(dòng)態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在PC0和PC1上ping 202.96.1.2（路由器 Router1的串行接口1/0）,此時(shí)應(yīng)該是通的， 路由器Router0的輸出信

31、息如下：,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,以上輸出表明進(jìn)行PAT轉(zhuǎn)換使用的是同一個(gè)IP 地址的不同端口號(hào)。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,動(dòng)態(tài)NAT的過(guò)期時(shí)間是86400s，PAT的過(guò)期 時(shí)間是60s，通過(guò)show ip nat tranlastions verbose命令可以查看，也可以通過(guò)下面的命 令修改超時(shí)時(shí)間：,如果主機(jī)的數(shù)量不

32、是很多，可以直接使用 outside接口地址配置PAT，不必定義地址池， 命令如下： 參數(shù)timeout的范圍是0到2147486。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),ip nat translation timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | pptp-timeout | syn-timeout | port-timeout | arp-ping-timeou

33、t seconds | never,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,改變NAT轉(zhuǎn)換超時(shí)時(shí)間,timeout,功能：,udp-timeout,dns-timeout,tcp-timeout,finrst-timeout,icmp-timeout,pptp-timeout,syn-timeout,port-timeout,arp-ping-timeout,seconds,never,應(yīng)用于動(dòng)態(tài)轉(zhuǎn)換的超時(shí)值，除復(fù)用轉(zhuǎn)換外，默認(rèn)為86400秒（24小時(shí)）,應(yīng)用于UDP端口的超時(shí)值，默認(rèn)為300秒（5分鐘）。,應(yīng)用于DNS連接的超時(shí)值，默認(rèn)為60秒,應(yīng)用于TCP端口的超時(shí)值

34、，默認(rèn)為86400秒（24小時(shí)）,應(yīng)用于結(jié)束（FIN）和復(fù)位（RST）中止連接的TCP包超時(shí)值，默認(rèn)為60秒,ICMP流的超時(shí)值，默認(rèn)為60秒,NAT PPTP流的超時(shí)值，默認(rèn)為86400秒（24小時(shí)）。,緊接SYN傳輸消息后TCP流的超時(shí)值，默認(rèn)為60秒。,應(yīng)用于TCP/UDP端口的超時(shí)值,端口轉(zhuǎn)換超時(shí)的秒數(shù)，默認(rèn)為0,沒有端口轉(zhuǎn)換超時(shí),應(yīng)用于arp ping的超時(shí)值,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在用戶模式或特權(quán)模式下,前提模式：,命令格式：,功能：,顯示活動(dòng)

35、的NAT轉(zhuǎn)換,show ip nat translations protocol verbose,protocol,verbose,(可選項(xiàng)) 顯示協(xié)議項(xiàng)目，協(xié)議參數(shù)關(guān)鍵字如下： esp：ESP協(xié)議項(xiàng)目。 icmp：ICMP協(xié)議項(xiàng)目。 pptp：PPTP協(xié)議項(xiàng)目。 tcp：TCP協(xié)議項(xiàng)目。 udp：UDP協(xié)議項(xiàng)目。,(可選項(xiàng)) 顯示每個(gè)轉(zhuǎn)換表項(xiàng)目的額外信息。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,例 show ip nat translations命令輸出,協(xié)議,源全局地

36、址,源本地地址,目的本地地址,目的全局地址,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動(dòng)態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時(shí) 監(jiān)視與維護(hù)NAT 實(shí)驗(yàn)練習(xí),5.2 NAT配置,在特權(quán)模式下,前提模式：,命令格式：,功能：,顯示NAT統(tǒng)計(jì)信息,show ip nat translations,例 show ip nat statistics命令輸出,系統(tǒng)活動(dòng)的轉(zhuǎn)換數(shù),外部接口列表,內(nèi)部接口列表,轉(zhuǎn)換表查詢找到表項(xiàng)的次數(shù),轉(zhuǎn)換表查詢沒有找到表項(xiàng)的次數(shù),過(guò)期的轉(zhuǎn)換數(shù),動(dòng)態(tài)映射信息,內(nèi)部源轉(zhuǎn)換信息,訪問(wèn)列表編號(hào),地址池的名稱,使用地址池的轉(zhuǎn)換數(shù),地址池IP網(wǎng)絡(luò)掩碼,地址池起始IP地址,地址池終止IP地址,地址池的類型，可能的類型為generic或rotary。,地址池可用的地址數(shù),被使用的地址數(shù)