路由交換技術(shù)（微課版）課件 ch09-企業(yè)網(wǎng)絡(luò)訪問控制；ch10-企業(yè)私網(wǎng)訪問互聯(lián)網(wǎng)

項(xiàng)目9企業(yè)網(wǎng)絡(luò)訪問控制目錄01學(xué)習(xí)目標(biāo)02項(xiàng)目概述03思維導(dǎo)圖04知識(shí)準(zhǔn)備05項(xiàng)目實(shí)施06項(xiàng)目小結(jié)07拓展知識(shí)08知識(shí)鞏固知識(shí)目標(biāo)1．理解ACL（AccessControlList，訪問控制列表）的概念。2．掌握ACL訪問控制等信息安全措施的作用。3．掌握ACL訪問控制命令的語(yǔ)法及編寫步驟。技能目標(biāo)1．掌握基本ACL的配置方法。2．掌握高級(jí)ACL的配置方法。3．能夠根據(jù)網(wǎng)絡(luò)拓?fù)浼霸L問控制要求配置ACL。素養(yǎng)目標(biāo)1．逐步培養(yǎng)學(xué)生分析實(shí)際問題，將實(shí)際問題抽象化以及拆分的能力。2．逐步培養(yǎng)學(xué)生認(rèn)真負(fù)責(zé)、嚴(yán)謹(jǐn)細(xì)致“質(zhì)量第一，精益求精”的工匠精神以及團(tuán)隊(duì)協(xié)作意識(shí)。3．提升學(xué)生的網(wǎng)絡(luò)安全意識(shí)，樹立正確的網(wǎng)絡(luò)信息數(shù)據(jù)安全觀。1學(xué)習(xí)目標(biāo)2項(xiàng)目概述藍(lán)箭公司由于業(yè)務(wù)拓展，網(wǎng)絡(luò)流量極速提升，各種訪問應(yīng)用也水漲船高。伴隨著這些提升，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（QualityofService）的問題也日益突出。現(xiàn)在其有一個(gè)訪問需求，要求研發(fā)部門不能訪問財(cái)務(wù)部服務(wù)器而總裁辦公室可以，同時(shí)，外網(wǎng)不能方位內(nèi)部網(wǎng)絡(luò)。針對(duì)上述問題，如果可以制定一種策略，使某些數(shù)據(jù)可以通過路由器而另外的數(shù)據(jù)不能通過，這就可以實(shí)現(xiàn)訪問及流量的控制。像這種策略我們一般稱之為訪問控制。在計(jì)算機(jī)網(wǎng)絡(luò)中，典型的訪問控制是ACL。通過ACL可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。它通過是用ACL可以為藍(lán)箭公司提供嚴(yán)格管控、可靠、可擴(kuò)展及動(dòng)態(tài)調(diào)整的訪問控制策略，從而滿足其信息安全及流量控制的需求。圖9-1流量限制示意圖3思維導(dǎo)圖本項(xiàng)目主要學(xué)習(xí)ACL訪問控制，其所含知識(shí)點(diǎn)如圖所示。圖9-2ACL訪問控制知識(shí)點(diǎn)4知識(shí)準(zhǔn)備隨著經(jīng)濟(jì)的發(fā)展，我們可以看到公路上的機(jī)動(dòng)車輛越來越多。如果沒有相應(yīng)的約束，那很多車輛可能在公路中隨意行駛。輕則影響交通，重則可能產(chǎn)生事故，甚至傷害自身或者他人的生命安全。因此，為了杜絕上述現(xiàn)象，交通管理部門會(huì)根據(jù)路段、日期、車輛類型等多因素，設(shè)置多種條件，約束或者限制機(jī)動(dòng)車輛的行駛，從而確保交通的暢通和安全。對(duì)我們將上述場(chǎng)景應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)中。隨著企業(yè)的發(fā)展，其網(wǎng)絡(luò)的規(guī)模會(huì)越來越大，網(wǎng)絡(luò)中的各種流量及訪問也會(huì)越來越多。如果不加以限制，則也會(huì)產(chǎn)生網(wǎng)絡(luò)擁堵、機(jī)密信息泄露，引發(fā)信息安全事故。針對(duì)信息安全，習(xí)總書記做過“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”的重要指示。隨著信息化現(xiàn)代化的不斷推進(jìn)，安全已成為發(fā)展的前提，而發(fā)展又可以進(jìn)一步保障安全，安全與發(fā)展已成為密不可分的一體。對(duì)于我們從事計(jì)算機(jī)專業(yè)的人員來講，更要牢固網(wǎng)絡(luò)安全意識(shí)，建立正確的網(wǎng)絡(luò)安全觀，通過技術(shù)保障信息基礎(chǔ)設(shè)施的安全。圖9-3禁行標(biāo)志圖9-4網(wǎng)絡(luò)安全重要指示4知識(shí)準(zhǔn)備訪問控制列表（AccessControlList，ACL）是網(wǎng)絡(luò)安全和訪問管理中的一個(gè)重要概念。它是一種用于定義和管理對(duì)網(wǎng)絡(luò)資源訪問權(quán)限的機(jī)制。ACL可以應(yīng)用于各種網(wǎng)絡(luò)設(shè)備，如路由器、防火墻、交換機(jī)等，通過設(shè)置一系列的規(guī)則來控制誰可以訪問特定的網(wǎng)絡(luò)資源、在什么條件下可以訪問以及可以執(zhí)行哪些操作。簡(jiǎn)單來說，ACL就像是一個(gè)網(wǎng)絡(luò)的“門禁系統(tǒng)”，它決定了哪些人（或設(shè)備）可以進(jìn)入特定的區(qū)域（或訪問特定的資源），以及他們可以在那里做什么。ACL與信息安全關(guān)系十分密切，其嚴(yán)格的控制了網(wǎng)絡(luò)中數(shù)據(jù)的流向。因此，配置合理、完備、高效的ACL，可以有效降低信息安全風(fēng)險(xiǎn)。本項(xiàng)目通過使用ACL來對(duì)藍(lán)箭公司的網(wǎng)路訪問流量控制進(jìn)行升級(jí)改造，學(xué)習(xí)ACL的基本概念，類型，特點(diǎn)，基本組成結(jié)構(gòu)，匹配順序及規(guī)則，并通過兩個(gè)項(xiàng)目進(jìn)一步掌握ACL的用法。4知識(shí)準(zhǔn)備ACL，也稱為訪問控制列表，是一種網(wǎng)絡(luò)安全工具，用于在網(wǎng)絡(luò)設(shè)備上對(duì)數(shù)據(jù)流進(jìn)行匹配和篩選。它可以控制數(shù)據(jù)包的流向，允許或拒絕數(shù)據(jù)包通過網(wǎng)絡(luò)接口，以實(shí)現(xiàn)網(wǎng)絡(luò)安全和資源管理。ACL是由permit或deny語(yǔ)句組成的一系列有順序的規(guī)則的集合；它通過匹配報(bào)文的相關(guān)字段實(shí)現(xiàn)對(duì)報(bào)文的分類。ACL是能夠匹配一個(gè)IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具；ACL還能夠用于匹配路由條目。通過ACL可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。同時(shí)，傳統(tǒng)的報(bào)文過濾并不處理所有IP報(bào)文分片，而是只對(duì)第一個(gè)（首片）分片報(bào)文進(jìn)行匹配處理，后續(xù)分片一律放行。這樣，網(wǎng)絡(luò)攻擊者可能構(gòu)造后續(xù)的分片報(bào)文進(jìn)行流量攻擊，就帶來了安全隱患。在IPv4ACL的規(guī)則配置項(xiàng)中，通過關(guān)鍵字fragment來標(biāo)識(shí)該ACL規(guī)則僅對(duì)非首片分片報(bào)文有效，而對(duì)非分片報(bào)文和首片分片報(bào)文無效。不包含此關(guān)鍵字的規(guī)則項(xiàng)對(duì)非分片報(bào)文和分片報(bào)文均有效。4.1ACL的基本原理與作用4知識(shí)準(zhǔn)備ACL的工作原理主要涉及以下幾個(gè)步驟。定義規(guī)則：管理員根據(jù)安全策略和需求，定義一系列的訪問控制規(guī)則。這些規(guī)則通常包括源地址、目的地址、協(xié)議、端口等信息，以及允許或拒絕訪問的操作。匹配規(guī)則：當(dāng)有訪問請(qǐng)求發(fā)生時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)按照規(guī)則的順序依次檢查這些規(guī)則，看是否有匹配的規(guī)則。執(zhí)行操作：如果找到匹配的規(guī)則，網(wǎng)絡(luò)設(shè)備就會(huì)根據(jù)規(guī)則中指定的操作（允許或拒絕）來處理訪問請(qǐng)求。ACL的規(guī)則可以非常靈活，可以根據(jù)不同的需求進(jìn)行精細(xì)的設(shè)置。例如，可以設(shè)置只允許特定的用戶或設(shè)備在特定的時(shí)間段內(nèi)訪問特定的資源，或者只允許特定的協(xié)議和端口的訪問。4.1ACL的基本原理與作用4知識(shí)準(zhǔn)備ACL的作用主要包括訪問控制與流量控制。（1）訪問控制：通過ACL和數(shù)據(jù)包過濾結(jié)合使用，限制特定源或目標(biāo)的網(wǎng)絡(luò)訪問?；贏CL的包過濾的訪問控制是一種網(wǎng)絡(luò)安全措施，它對(duì)每個(gè)進(jìn)出網(wǎng)絡(luò)接口的數(shù)據(jù)包逐個(gè)進(jìn)行檢查，并根據(jù)ACL規(guī)則決定是否允許或丟棄數(shù)據(jù)包。這些規(guī)則必須配置在特定接口的某個(gè)方向上才能生效，每個(gè)接口的一個(gè)方向只能配置一個(gè)包過濾策略。AC包過濾可以配置在入方向與出方向。其中：入方向只對(duì)從外部進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾；出方向只對(duì)從內(nèi)部發(fā)出的數(shù)據(jù)包進(jìn)行過濾。通過一進(jìn)一出兩個(gè)方向，可以有效控制內(nèi)外部數(shù)據(jù)包，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問的控制。ACL包過濾的工作流程包括以下步驟。①當(dāng)數(shù)據(jù)包到達(dá)接口時(shí)，系統(tǒng)檢查是否應(yīng)用了ACL規(guī)則。如果有ACL規(guī)則，系統(tǒng)將開始匹配，否則數(shù)據(jù)包將被允許通過。②數(shù)據(jù)包將按照ACL編號(hào)匹配第一條規(guī)則。如果匹配成功，系統(tǒng)將繼續(xù)檢查該規(guī)則的動(dòng)作。③如果規(guī)則動(dòng)作是允許，系統(tǒng)將允許數(shù)據(jù)包通過；如果規(guī)則動(dòng)作是拒絕，系統(tǒng)將丟棄數(shù)據(jù)包。④如果第一條規(guī)則未匹配，系統(tǒng)將繼續(xù)匹配下一條規(guī)則，以此類推。⑤如果沒有規(guī)則匹配，系統(tǒng)將檢查默認(rèn)動(dòng)作：如果默認(rèn)動(dòng)作是允許，系統(tǒng)將允許數(shù)據(jù)包通過；如果默認(rèn)動(dòng)作是拒絕，系統(tǒng)將丟棄數(shù)據(jù)包。4.1ACL的基本原理與作用4知識(shí)準(zhǔn)備（2）流量控制：結(jié)合QoS（QualityofService）策略，ACL可以幫助管理流量的優(yōu)先級(jí)和帶寬分配。其匹配IP流量時(shí)，可以在Traffic-filter中被調(diào)用，在NAT（NetworkAddressTranslation）中被調(diào)用，在路由策略中被調(diào)用，在防火墻的策略部署中被調(diào)用，也可以在QoS中被調(diào)用。除此之外，ACL可以與路由策略結(jié)合，用于決定數(shù)據(jù)包的路由路徑，從而實(shí)現(xiàn)路由控制。4.1ACL的基本原理與作用4知識(shí)準(zhǔn)備ACL主要分為基本和高級(jí)兩種類型。（1）基本訪問控制列表（2000～2999）：這是最基本的ACL類型，它只能根據(jù)源IP地址來進(jìn)行過濾。標(biāo)準(zhǔn)ACL通常用于簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境中，對(duì)訪問進(jìn)行基本的限制。（2）高級(jí)訪問控制列表（3000～3999）：高級(jí)ACL不僅可以根據(jù)源IP地址，還可以根據(jù)目的IP地址、協(xié)議、端口等更多的信息來進(jìn)行過濾。擴(kuò)展ACL可以提供更精細(xì)的訪問控制，適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。除此之外，根據(jù)ACL所應(yīng)用的設(shè)備，也可以設(shè)置二層ACL（4000～4999，其根據(jù)源MAC，目的MAC，802.1q優(yōu)先級(jí)，二層協(xié)議等信息制定規(guī)則；也可以根據(jù)應(yīng)用場(chǎng)景需求設(shè)置基于時(shí)間的訪問控制列表或者基于用戶的訪問控制列表。ACL在網(wǎng)絡(luò)安全中有著廣泛的應(yīng)用。例如，在企業(yè)網(wǎng)絡(luò)中，可以通過ACL來限制員工對(duì)某些敏感資源的訪問，防止數(shù)據(jù)泄露和非法操作。在互聯(lián)網(wǎng)中，可以通過ACL來防止惡意攻擊和非法訪問，保護(hù)網(wǎng)絡(luò)的安全。4.2ACL的類型及特點(diǎn)4知識(shí)準(zhǔn)備ACL一般由以下幾部分構(gòu)成。（1）ACL編號(hào)：用于標(biāo)識(shí)ACL規(guī)則的序號(hào)。（2）ACL名稱：使用名稱標(biāo)識(shí)ACL規(guī)則。上述兩個(gè)組成部分，都用于表示設(shè)置的ACL規(guī)則，但編號(hào)更常使用，名稱經(jīng)常省略。（3）備注：可以為ACl添加注釋或詳細(xì)描述，一般省略。（4）ACL中的規(guī)則語(yǔ)句：拒絕或者允許流量通過的規(guī)則語(yǔ)句。后面會(huì)詳細(xì)講。（5）網(wǎng)絡(luò)協(xié)議：如IP、TCP、UDP、IPX等，可以根據(jù)這些網(wǎng)絡(luò)協(xié)議編寫規(guī)則，主要用于高級(jí)ACL。（6）源地址、目的地址：編寫的規(guī)則過濾數(shù)據(jù)包的源IP地址及目的IP地址。通過該部分對(duì)數(shù)據(jù)包進(jìn)行適配，也稱之為通配符。4.3ACL的基本組成結(jié)構(gòu)4知識(shí)準(zhǔn)備以下內(nèi)容為一個(gè)基本的ACL語(yǔ)句。4.3ACL的基本組成結(jié)構(gòu)4知識(shí)準(zhǔn)備4.3ACL的基本組成結(jié)構(gòu)1.第一個(gè)語(yǔ)句acl用于聲明其為配置ACL訪問控制列表，number2001代表是該訪問控制列表的編號(hào)為2001。在配置任何一個(gè)acl訪問控制列表時(shí)，首先必須使用該語(yǔ)句聲明其對(duì)應(yīng)的編號(hào)。2.第二個(gè)語(yǔ)句編號(hào)2001這個(gè)訪問控制列表中的第一個(gè)規(guī)則。其中，rule用于聲明一個(gè)規(guī)則，10代表規(guī)則的編號(hào)。ACL中的規(guī)則語(yǔ)句由若干條permit或deny語(yǔ)句組成。每條語(yǔ)句就是該ACL的一條規(guī)則，每條語(yǔ)句中的permit或deny就是與這條規(guī)則相對(duì)應(yīng)的處理動(dòng)作，permit代表允許，deny代表拒絕。source192.168.10.200.0為匹配項(xiàng)，也就是上文提到報(bào)文中的匹配字段，通過使用匹配字段對(duì)報(bào)文進(jìn)行過濾。source代表源，192.168.10.200代表源對(duì)應(yīng)的IP地址，0代表通配符，后面會(huì)詳細(xì)介紹什么是通配符。在這個(gè)配置中使用的是源地址作為匹配字段，也就是來自192.168.10.200的數(shù)據(jù)包，拒絕通過。3.第三個(gè)語(yǔ)句與第二個(gè)語(yǔ)句類似，定義了一個(gè)15號(hào)規(guī)則，但是其動(dòng)作為permit，允許，匹配項(xiàng)為source192.168.10.1000.0.0.255。ACL定義了極其豐富的匹配項(xiàng)。除了例子中的源地址，ACL還支持很多其他規(guī)則匹配項(xiàng)。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）、三層報(bào)文信息（如目的地址、協(xié)議類型）以及四層報(bào)文信息（如TCP/UDP端口號(hào)）等。4知識(shí)準(zhǔn)備4.4ACL的規(guī)則編號(hào)在上述ACL訪問控制列表語(yǔ)句中，每定義一個(gè)rule規(guī)則，都必須有一個(gè)編號(hào)。這個(gè)編號(hào)用來標(biāo)識(shí)ACL的規(guī)則，其可以自定義，也可以由系統(tǒng)自動(dòng)分配。如果由系統(tǒng)自動(dòng)分配，那么系統(tǒng)默認(rèn)會(huì)為每個(gè)相鄰規(guī)則編號(hào)之間設(shè)置一個(gè)差值，這個(gè)差值稱為“步長(zhǎng)”，缺省步長(zhǎng)為5。步長(zhǎng)可以根據(jù)需求進(jìn)行配置調(diào)整。例如，如果將步長(zhǎng)改為4，系統(tǒng)則會(huì)自動(dòng)從當(dāng)前步長(zhǎng)值開始重新排列規(guī)則編號(hào)，規(guī)則編號(hào)就變成4、8、12…系統(tǒng)為ACL中首條未手工指定編號(hào)的規(guī)則分配編號(hào)時(shí)，使用步長(zhǎng)值（例如步長(zhǎng)=5，首條規(guī)則編號(hào)為5）作為該規(guī)則的起始編號(hào)；為后續(xù)規(guī)則分配編號(hào)時(shí)，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號(hào)且是步長(zhǎng)整數(shù)倍的最小整數(shù)作為規(guī)則編號(hào)。例如，當(dāng)前ACL的內(nèi)最大的規(guī)則編號(hào)是25，那么為明確定義編號(hào)的規(guī)則，系統(tǒng)會(huì)自動(dòng)將其編號(hào)設(shè)置為30。4知識(shí)準(zhǔn)備4.4ACL的規(guī)則編號(hào)我們都知道，編號(hào)一般按照順序依次設(shè)置，如1,2,3,4···那為什么在ACL中要在規(guī)則編號(hào)之間設(shè)置步長(zhǎng)，從而使編號(hào)有一定的間隔呢？我們來思考一個(gè)問題：如果希望在已有的兩條規(guī)則之間新增加一條規(guī)則，該如何處理？我們可以通過在間隔中選取一個(gè)序號(hào)作為新增加規(guī)則的編號(hào)即可，而不需要改變已有規(guī)則的編號(hào)。例如，想在上面的規(guī)則中新增加一個(gè)編號(hào)為28的規(guī)則，那么只需要在rule25和rule30之間，定義一個(gè)rule28即可。因此，通過上述問題可以看出，設(shè)置一定長(zhǎng)度的步長(zhǎng)，可以方便后續(xù)在舊規(guī)則之間插入新的規(guī)則，而不需要對(duì)舊的規(guī)則進(jìn)行修改。4知識(shí)準(zhǔn)備4.5ACL的通配符上文我們學(xué)習(xí)到了，在上述ACL配置中，rule10最后的0以及rule15最后的0.0.0.255叫做通配符。當(dāng)進(jìn)行IP地址匹配的時(shí)候，在IP地址后面會(huì)跟著32位掩碼位，這32位稱為通配符。通配符也是點(diǎn)分十進(jìn)制格式，換算成二進(jìn)制后，“0”表示“匹配”，“1”表示“不關(guān)心”。怎么理解0代表匹配，1代表不關(guān)心呢？我們針對(duì)上面兩條規(guī)則rule10和rule15分別來討論。4知識(shí)準(zhǔn)備4.5ACL的通配符rule10拒絕源IP地址為192.168.10.200的報(bào)文通過——因?yàn)橥ㄅ浞麨槿?，所以每一位都要嚴(yán)格匹配，因此匹配的是主機(jī)IP地址192.168.10.200。rule15允許源IP地址為192.168.10.0/24網(wǎng)段地址的報(bào)文通過——因?yàn)橥ㄅ浞?.0.0.11111111，后8位為1，表示不關(guān)心，因此192.168.10.xxxxxxxx的后8位可以為任意值，所以匹配的是192.168.10/24網(wǎng)段。也就是說，通配符用于指示IP地址中，哪些比特位需要嚴(yán)格匹配，哪些比特位無需匹配。0代表是一一對(duì)應(yīng)，必須嚴(yán)格匹配，1代表任意，無需匹配。雖然其與子網(wǎng)掩碼類似，也采用點(diǎn)分十進(jìn)制，但是其含義卻與子網(wǎng)掩碼完全不同。4知識(shí)準(zhǔn)備4.5ACL的通配符如果想精確匹配192.168.20.0/24網(wǎng)段中的奇數(shù)IP地址，通配符該怎么寫呢？首先，奇數(shù)IP地址為192.168.20.1,192.168.20.3······我們將這些IP地址的主機(jī)號(hào)轉(zhuǎn)換為二進(jìn)制。通過二進(jìn)制表示的IP地址可以看出，在這個(gè)網(wǎng)段中，所有的奇數(shù)IP地址，其對(duì)應(yīng)的主機(jī)號(hào)，最低位固定為1，其他7位為任意值。因此，我們想嚴(yán)格匹配所有的奇數(shù)IP地址，就必須嚴(yán)格匹配主機(jī)號(hào)最后一位為1。因此，通配符的最后一位應(yīng)為0。由此可以得出，其對(duì)應(yīng)的通配符對(duì)應(yīng)的點(diǎn)分十進(jìn)制表示法為0.0.0.2544知識(shí)準(zhǔn)備4.5ACL的通配符如果想精確匹配192.168.20.0/24網(wǎng)段中的奇數(shù)IP地址，通配符該怎么寫呢？首先，奇數(shù)IP地址為192.168.20.1,192.168.20.3······我們將這些IP地址的主機(jī)號(hào)轉(zhuǎn)換為二進(jìn)制。通過二進(jìn)制表示的IP地址可以看出，在這個(gè)網(wǎng)段中，所有的奇數(shù)IP地址，其對(duì)應(yīng)的主機(jī)號(hào)，最低位固定為1，其他7位為任意值。因此，我們想嚴(yán)格匹配所有的奇數(shù)IP地址，就必須嚴(yán)格匹配主機(jī)號(hào)最后一位為1。因此，通配符的最后一位應(yīng)為0。由此可以得出，其對(duì)應(yīng)的通配符對(duì)應(yīng)的點(diǎn)分十進(jìn)制表示法為0.0.0.254同樣，我們進(jìn)一步擴(kuò)展。如果要精確匹配192.168.20.0/24網(wǎng)段中的所有偶數(shù)IP地址，那么其通配符應(yīng)該為多少呢？4知識(shí)準(zhǔn)備4.5ACL的通配符由上述例子，我們可以對(duì)于通配符的確定做如下總結(jié)。（1）根據(jù)需求，將對(duì)應(yīng)的IP地址轉(zhuǎn)換為二進(jìn)制表示。（2）分析轉(zhuǎn)換為二進(jìn)制后的IP地址，找到其規(guī)律或共性。（3）根據(jù)規(guī)律或共性，確定通配符的每一位是0還是1。（4）確定完通配符的每一位后，將其轉(zhuǎn)化為淀粉十幾只表示法，就得到了ACL中應(yīng)用的通配符。并且通配符中的1或者0是可以不連續(xù)的。除此之外，還有兩個(gè)特殊的通配符，需要大家注意。當(dāng)通配符全為0來匹配IP地址時(shí)，表示精確匹配某個(gè)IP地址；例如上文例子中的當(dāng)通配符全為1來匹配0.0.0.0地址時(shí)，表示匹配了所有IP地址。4知識(shí)準(zhǔn)備4.6ACL的匹配順序ACL的匹配順序，主要采用“從上到下，逐條匹配的，直到命中”這個(gè)過程。也就是配置ACL的設(shè)備，其接口接收到相應(yīng)的報(bào)文后會(huì)將該報(bào)文與該設(shè)備接口中配置的第一個(gè)ACL規(guī)則逐條進(jìn)行匹配，如果第一條規(guī)則不匹配，則會(huì)將報(bào)文繼續(xù)向下匹配，也就是匹配第二條規(guī)則。如果第二條還不匹配，再往下匹配第三條，依次類推。一旦匹配上，則設(shè)備會(huì)對(duì)該報(bào)文執(zhí)行這條規(guī)則中定義的處理動(dòng)作，并且不再繼續(xù)嘗試與后續(xù)規(guī)則匹配。圖9-5

ACL匹配流程4知識(shí)準(zhǔn)備4.6ACL的匹配順序其匹配流程如下。（1）ACL自檢測(cè)：檢測(cè)設(shè)備接口是否配置了ACL。如果ACL不存在，則返回ACL匹配結(jié)果為：不匹配。（2）規(guī)則自檢測(cè)：如果設(shè)備上配置了ACL，則進(jìn)一步檢測(cè)設(shè)備是否配置了ACL規(guī)則。如果規(guī)則不存在，則返回ACL匹配結(jié)果為：不匹配。（3）規(guī)則匹配：如果設(shè)備上存在ACL及相應(yīng)的規(guī)則，則系統(tǒng)會(huì)從ACL中編號(hào)最小的規(guī)則開始查找，與數(shù)據(jù)包進(jìn)行匹配過濾，此時(shí)又分三種情況。第一種：如果數(shù)據(jù)包與當(dāng)前的規(guī)則匹配，并且為permit，那么系統(tǒng)停止向下查找規(guī)則，并返回ACL的匹配結(jié)果為：允許第二種：如果數(shù)據(jù)包與當(dāng)前的規(guī)則匹配，并且為deny，那么系統(tǒng)停止向下查找規(guī)則，并返回ACL匹配結(jié)果為：拒絕。第三種：如果當(dāng)前的規(guī)則未匹配，則繼續(xù)查找下一條規(guī)則，以此循環(huán)。（4）缺省匹配：設(shè)備默認(rèn)的ACL指令機(jī)制中，每組ACL都在末尾隱含一條deny所有報(bào)文的指令。也就是說，當(dāng)接收到的數(shù)據(jù)包和ACL所有的明細(xì)條目都不匹配的時(shí)候，則就會(huì)觸發(fā)這條隱藏的指令，直接將報(bào)文丟棄。4知識(shí)準(zhǔn)備4.6ACL的匹配順序以華為設(shè)備為例，華為設(shè)備支持兩種匹配順序：自動(dòng)排序（auto模式）和配置順序（config模式），后者也是默認(rèn)的匹配順序。自動(dòng)排序，是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到低進(jìn)行排序，并按照精確度從高到低的順序進(jìn)行報(bào)文匹配。配置順序，系統(tǒng)按照ACL規(guī)則編號(hào)從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號(hào)越小越容易被匹配。如果后面又添加了一條規(guī)則，則這條規(guī)則會(huì)被加入到相應(yīng)的位置，報(bào)文仍然會(huì)按照從小到大的順序進(jìn)行匹配。以如下的ACL配置為例：4知識(shí)準(zhǔn)備4.6ACL的匹配順序首先理解ACL2002的含義。rule10：拒絕源IP地址為192.168.10.200的報(bào)文rule15：允許源IP地址為192.168.10.100的報(bào)文rule25：拒絕源IP地址為192.168.10.150的報(bào)文rule30：允許192.168.10.0/24這個(gè)網(wǎng)絡(luò)的IP地址的報(bào)文假設(shè)現(xiàn)在有如下四個(gè)數(shù)據(jù)包要通過配置了上述ACL的設(shè)備，每個(gè)數(shù)據(jù)包的源IP地址如下。192.168.10.200/24192.168.10.100/24192.168.10.150/24192.168.10.30/244知識(shí)準(zhǔn)備4.6ACL的匹配順序?qū)τ诘谝粋€(gè)數(shù)據(jù)包，其匹配rule10，動(dòng)作為拒絕，因此該數(shù)據(jù)包不允許通過，且后續(xù)規(guī)則不在匹配。對(duì)于第二個(gè)數(shù)據(jù)包，其不匹配rule10，接著向下匹配，匹配rule15，動(dòng)作為允許，因此該數(shù)據(jù)包通過，后續(xù)規(guī)則不再匹配。對(duì)于第三個(gè)數(shù)據(jù)包，其不匹配rule10，向下匹配，也不匹配rule15，再向下匹配，匹配rule25，動(dòng)作為拒絕，因此該數(shù)據(jù)包不允許通過，后續(xù)規(guī)則也不再匹配。對(duì)于第四個(gè)數(shù)據(jù)包，rule10，rule15，以及rule25都不匹配，其匹配rule30，因此允許通過。從上述例子中可以看出，rule30允許192.168.10.0/24整個(gè)網(wǎng)段的主機(jī)都通過，但是其與前面的rule10，以及rule25存在沖突。由于其在rule10以及rule15之后，因此源地址為192.168.10.200以及192.168.10.100數(shù)據(jù)包匹配了rule10或者rule15，則不再匹配rule30。4知識(shí)準(zhǔn)備4.6ACL的匹配順序如果將上述ACL的規(guī)則順序，換成如下的寫法，請(qǐng)各位思考在這種情況下，上述四個(gè)數(shù)據(jù)包匹配哪個(gè)規(guī)則，對(duì)應(yīng)的動(dòng)作是什么？4知識(shí)準(zhǔn)備4.7基本型ACL配置語(yǔ)法基本型ACL是最簡(jiǎn)單的一種ACL，僅使用報(bào)文的源IP地址、分片信息和生效時(shí)間段信息來定義規(guī)則，通常使用編號(hào)范圍為2000-2999的ACL規(guī)則，適用于IPv4版本。我們前面使用的樣例，都是基本型ACL。在基本ACL視圖下，通過如下的過程進(jìn)行配置。（1）創(chuàng)建ACL（2）創(chuàng)建規(guī)則當(dāng)然，也可以使用名稱配置一個(gè)ACL，其配置如下。4知識(shí)準(zhǔn)備4.8高級(jí)型ACL配置語(yǔ)法高級(jí)ACL可以對(duì)數(shù)據(jù)包的五元組進(jìn)行匹配，包括源IP、目標(biāo)IP、源端口、目標(biāo)端口和協(xié)議，其也就是，其可以根據(jù)源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。其配置過程如下。（1）創(chuàng)建ACL（2）配置ACL規(guī)則根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級(jí)ACL規(guī)則。對(duì)于不同的協(xié)議類型，有不同的參數(shù)組合。①當(dāng)參數(shù)protocol為IP時(shí)，高級(jí)ACL的命令格式如下。4知識(shí)準(zhǔn)備4.8高級(jí)型ACL配置語(yǔ)法其中，各參數(shù)含義如下。ip：指定ACL規(guī)則匹配報(bào)文的協(xié)議類型為IP。destination{destination-addressdestination-wildcard|any}：指定ACL規(guī)則匹配報(bào)文的目的地址信息。如果不配置，表示報(bào)文的任何目的地址都匹配。dscpdscp：指定ACL規(guī)則匹配報(bào)文時(shí)，區(qū)分服務(wù)代碼點(diǎn)（DifferentiatedServicesCodePoint），取值為：0～63。tostos：指定ACL規(guī)則匹配報(bào)文時(shí)，依據(jù)服務(wù)類型字段進(jìn)行過濾，取值為：0～15。precedenceprecedence：指定ACL規(guī)則匹配報(bào)文時(shí)，依據(jù)優(yōu)先級(jí)字段進(jìn)行過濾。precedence表示優(yōu)先級(jí)字段值，取值為：0～7。4知識(shí)準(zhǔn)備4.8高級(jí)型ACL配置語(yǔ)法（2）配置ACL規(guī)則②當(dāng)參數(shù)protocol為TCP時(shí)，高級(jí)ACL的命令格式為其中，各參數(shù)含義如下。protocol-number|tcp：指定ACL規(guī)則匹配報(bào)文的協(xié)議類型為TCP?？梢圆捎脭?shù)值6表示指定TCP協(xié)議。destination-port{eqport|gtport|ltport|rangeport-startport-end}：指定ACL規(guī)則匹配報(bào)文的UDP或者TCP報(bào)文的目的端口，僅在報(bào)文協(xié)議是TCP或者UDP時(shí)有效。如果不指定，表示TCP/UDP報(bào)文的任何目的端口都匹配。其類型包括如下：eqport：指定等于目的端口；gtport：指定大于目的端口；ltport：指定小于目的端口；rangeport-startport-end：指定源端口的范圍。tcp-flag：指定ACL規(guī)則匹配報(bào)文的TCP報(bào)文頭中SYNFlag。4知識(shí)準(zhǔn)備4.9入站及出站對(duì)于任何一臺(tái)網(wǎng)絡(luò)設(shè)備來講，其處理的數(shù)據(jù)包有兩個(gè)方向。一個(gè)叫做入方向，又稱之為入站，是指數(shù)據(jù)包進(jìn)入設(shè)備的方向，另一個(gè)叫做出方向，又稱之為出站，其是設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)出去的方向。如果一個(gè)設(shè)備配置了ACL，則其在這兩個(gè)方向上對(duì)數(shù)據(jù)包的ACL匹配過程是不同的。如圖所示。圖9-6數(shù)據(jù)入站與出站4知識(shí)準(zhǔn)備4.9入站及出站1.入站當(dāng)ACL應(yīng)用于設(shè)備的入站方向時(shí)，入站的數(shù)據(jù)包先根據(jù)應(yīng)用在接口上的ACL條件進(jìn)行匹配，如果允許則根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)，如果拒絕則直接丟棄。簡(jiǎn)單來講就是“先匹配，后路由?！逼溥^程如圖所示。圖9-7入站匹配過程4知識(shí)準(zhǔn)備4.9入站及出站1.出站對(duì)于出站方向，當(dāng)ACL應(yīng)用在設(shè)備接口出方向報(bào)文先經(jīng)過路由表路由后轉(zhuǎn)至出接口，根據(jù)接口上應(yīng)用的出方向ACL條件進(jìn)行匹配，是允許permit還是拒絕deny，如果是允許，就根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)，如果是拒絕就直接將數(shù)據(jù)包丟棄了。簡(jiǎn)單來講就是“先路由，后匹配”。其過程如圖所示。圖9-8出站匹配過程4知識(shí)準(zhǔn)備4.9入站及出站具體到上文講到的基本型ACL與高級(jí)ACL，對(duì)于這兩種ACL，基本型ACL盡量應(yīng)用于靠近目的地，也就是出站的方向使用基本型ACL居多，而高級(jí)ACL盡量應(yīng)用于靠近源的地方，也就是入站的方向使用高級(jí)ACL居多，因?yàn)橥ㄟ^使用高級(jí)ACL，可以通過其規(guī)則中匹配的網(wǎng)絡(luò)協(xié)議有效的保護(hù)帶寬以及其他資源的使用。4知識(shí)準(zhǔn)備4.10ACL在設(shè)備中的配置過程前面我們學(xué)習(xí)完了ACL的基本概念及語(yǔ)法，本節(jié)我們來看一下如何在設(shè)備中配置ACL。以華為路由器為例，在其上配置基本型ACL時(shí)，進(jìn)入設(shè)備配置控制臺(tái)，然后在其中定義一個(gè)ACL，例如acl2000，然后，編寫基本規(guī)則?；疽?guī)則主要包括允許訪問以及禁止訪問，允許就是allow，禁止就是deny。ACL編寫完畢后，因?yàn)閿?shù)據(jù)都是通過設(shè)備接口傳輸?shù)?，ACL也是在入站或者出站接口上匹配，因此，我們需要將編寫好的ACL“綁定”到對(duì)應(yīng)的入站或者出站接口中。具體配置過程包括如下兩個(gè)步驟。（1）定義ACL（2）綁定接口5項(xiàng)目實(shí)施1．任務(wù)描述藍(lán)箭公司想對(duì)公司員工上網(wǎng)進(jìn)行訪問控制。訪問控制需求為，通過在路由器上部署基本ACL，從而實(shí)現(xiàn)禁止192.168.1.0/24網(wǎng)段的員工訪問路由器右側(cè)的服務(wù)器，而對(duì)其他任何網(wǎng)段的數(shù)據(jù)不做訪問控制。為了讓實(shí)驗(yàn)結(jié)果更加直觀，本次實(shí)驗(yàn)可在模擬器中完成。任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制圖9-9基本型ACL網(wǎng)絡(luò)拓?fù)銰E0/0/1ip:192.168.1.1/24gw:192.168.1.254/24Ip:192.168.2.1/24gw:192.168.2.254/24ip:10.1.1.1/24gw:10.1.1.254/24GE0/0/25項(xiàng)目實(shí)施2．實(shí)施步驟為了在路由器上配置ACL，首先要進(jìn)入系統(tǒng)視圖，接著執(zhí)行以下命令來定義一個(gè)ACLacl[number]acl-number[match-orderconfig]該然后使用以下定義規(guī)則，對(duì)數(shù)據(jù)包進(jìn)行拒絕或允許操作：rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]

最后，使用以下命令進(jìn)入路由器接口模式：interfaceGigabitEthernet，再使用以下命令將ACL綁定接口：traffic-filterinbound/outbound任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施2．實(shí)施步驟具體配置命令如下：任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施3.測(cè)試分析通過上述配置，我們?cè)诼酚善鞯?號(hào)接口設(shè)置了相應(yīng)的ACL，從拓?fù)浼芭渲妹羁梢钥闯?，該ACL是對(duì)入站方向的數(shù)據(jù)包進(jìn)行進(jìn)行匹配，并且采用的是源地址作為匹配項(xiàng)，其拒絕的是192.168.1.0/24這個(gè)網(wǎng)段的數(shù)據(jù)包?，F(xiàn)在我們來測(cè)試配置的ACL是否可用。使用ping命令，分別在相應(yīng)的PC中ping服務(wù)器，可以得到如圖所示的結(jié)果?？梢钥闯?，來自192.168.10.0/24網(wǎng)段的數(shù)據(jù)包，無法通過路由器，ping不通，而非這個(gè)網(wǎng)段的數(shù)據(jù)包都可以通過路由器，能夠ping通。任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制圖9-10基本型ACL測(cè)試結(jié)果5項(xiàng)目實(shí)施1．任務(wù)描述藍(lán)箭公司通過Router實(shí)現(xiàn)各部門之間的互連。為方便管理網(wǎng)絡(luò)，管理員為公司的財(cái)務(wù)部和法務(wù)部規(guī)劃了兩個(gè)網(wǎng)段的IP地址?，F(xiàn)要求Router能夠限制兩個(gè)網(wǎng)段之間互訪，防止公司機(jī)密泄露。其拓?fù)淙鐖D9-10所示。5.2利用高級(jí)ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制GE0/0/110.1.1.1/24ip:10.1.1.10/24gw:10.1.1.1/24ip：10.1.2.10/24gw:10.1.1.2.1/24GE0/0/210.1.2.1/24圖9-10高級(jí)型ACL網(wǎng)絡(luò)拓?fù)?項(xiàng)目實(shí)施2．實(shí)施步驟配置高級(jí)ACL和流量過濾，使路由器可以對(duì)財(cái)務(wù)部與法務(wù)部之間通信的報(bào)文進(jìn)行過濾。需要分創(chuàng)建高級(jí)ACL，實(shí)現(xiàn)拒絕財(cái)務(wù)部訪問法務(wù)部的報(bào)文通過，以及拒絕法務(wù)部訪問財(cái)務(wù)部的報(bào)文通過，并綁定在對(duì)應(yīng)的接口GE0/0/1和GE0/0/2，且為入站方向：5.2利用高級(jí)ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施3．測(cè)試分析如圖9-10所示，使用ping命令，在10.1.1.1的PC上ping10.1.2.1的PC，可以發(fā)現(xiàn)不能通過。反之亦然。5.2利用高級(jí)ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制圖9-11高級(jí)型型ACL測(cè)試結(jié)果5項(xiàng)目實(shí)施5.3真機(jī)設(shè)備的配置上述練習(xí)均在ENSP模擬器中完成。但是在實(shí)際工作中，一定是在真機(jī)設(shè)備中進(jìn)行配置。對(duì)于真機(jī)設(shè)備，配置方法有兩種，一種為命令行方式，另一種為Web應(yīng)用程序。對(duì)于命令行方式使用console控制口連接設(shè)備，可以使用登入MobaXterm1_CHS1軟件登入設(shè)備的控制臺(tái)，如圖9-11所示。然后編寫ACL及其對(duì)應(yīng)的規(guī)則。ALC編寫完畢后，把它應(yīng)用到網(wǎng)口中，依然是使用traffic-filter命令進(jìn)行綁定。完成后退出，就實(shí)現(xiàn)了使用命令行的方式在真機(jī)設(shè)備中配置訪問控制。圖9-12使用console控制口編寫真機(jī)設(shè)備ACL5項(xiàng)目實(shí)施5.3真機(jī)設(shè)備的配置使用web應(yīng)用程序?qū)φ鏅C(jī)設(shè)備進(jìn)行配置，其操作與配置家用無線路由器類似。用網(wǎng)線連接設(shè)備的任一個(gè)接口，然后配置計(jì)算機(jī)和設(shè)備為同一個(gè)網(wǎng)段。在瀏覽器中輸入配置網(wǎng)址，就可以進(jìn)入配置主頁(yè)面，如圖9-12所示。在主頁(yè)面最左邊的菜單欄，有一項(xiàng)安全業(yè)務(wù)管理菜單。單擊該菜單，然后再單擊ACL配置。右側(cè)的配置詳情頁(yè)面還有相應(yīng)的配置信息，需要在其中填寫ACL訪問控制的接口和訪問規(guī)則。填寫完畢或，就實(shí)現(xiàn)了使用Web應(yīng)用程序配置ACL。圖9-12使用web頁(yè)面配置真機(jī)設(shè)備ACL6項(xiàng)目小結(jié)本次項(xiàng)目主要學(xué)習(xí)ACL訪問控制的相關(guān)概念、分類、配置方法，并通過兩個(gè)小項(xiàng)目進(jìn)一步練習(xí)其使用方法。訪問控制列表（ACL）是網(wǎng)絡(luò)安全的關(guān)鍵機(jī)制，用于定義和管理網(wǎng)絡(luò)資源的訪問權(quán)限。ACL工作原理包括定義規(guī)則、匹配規(guī)則和執(zhí)行操作。標(biāo)準(zhǔn)ACL基于源IP過濾，擴(kuò)展ACL則提供更多篩選條件。時(shí)間及用戶基礎(chǔ)的ACL提供更細(xì)化的控制。優(yōu)點(diǎn)在于增強(qiáng)安全性和精細(xì)管理，但管理復(fù)雜性和性能影響也是挑戰(zhàn)。通過使用ACL，可以限制對(duì)網(wǎng)絡(luò)資源的訪問，可以有效地防止未經(jīng)授權(quán)的訪問和攻擊，提高網(wǎng)絡(luò)的安全性?？梢愿鶕?jù)具體的需求進(jìn)行精細(xì)的設(shè)置，實(shí)現(xiàn)對(duì)訪問的精確控制。其制定得規(guī)則可以根據(jù)需要隨時(shí)進(jìn)行調(diào)整和修改，以適應(yīng)不斷變化的安全需求。但同時(shí)，其也具有一定的局限性。隨著規(guī)則的增多和網(wǎng)絡(luò)環(huán)境的變化，ACL的管理可能會(huì)變得越來越復(fù)雜，需要專業(yè)的知識(shí)和技能來進(jìn)行管理。在處理大量訪問請(qǐng)求時(shí)，ACL可能會(huì)對(duì)網(wǎng)絡(luò)設(shè)備的性能產(chǎn)生一定的影響。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)安全需求的不斷提高，ACL也在不斷地發(fā)展和完善。未來，ACL可能會(huì)更加智能化和自動(dòng)化，能夠根據(jù)網(wǎng)絡(luò)環(huán)境的變化自動(dòng)調(diào)整規(guī)則，提高安全性和效率。同時(shí)，ACL也可能會(huì)與其他安全技術(shù)相結(jié)合，形成更加綜合和有效的安全解決方案。總之，訪問控制列表ACL是網(wǎng)絡(luò)安全和訪問管理中的一個(gè)重要工具，它對(duì)于保護(hù)網(wǎng)絡(luò)資源和數(shù)據(jù)安全起著至關(guān)重要的作用。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，ACL也將不斷地發(fā)展和完善，為網(wǎng)絡(luò)安全提供更加強(qiáng)有力的保障。7拓展知識(shí)ACL訪問控制技術(shù)，除了在網(wǎng)絡(luò)中用于限制流量或者用戶的訪問行為之外，其在計(jì)算機(jī)其他領(lǐng)域中也有應(yīng)用。其中，應(yīng)用最廣泛的為文件的訪問控制。文件的ACL是一種針對(duì)文件的權(quán)限設(shè)定的管理機(jī)制，它提供了比傳統(tǒng)的UGO（用戶、組、其他）權(quán)限更靈活的權(quán)限設(shè)置方式。文件的ACL可以針對(duì)特定用戶或用戶組設(shè)置權(quán)限：ACL允許管理員為特定的用戶或用戶組設(shè)置訪問某個(gè)文件或目錄的權(quán)限，而不影響其他用戶的權(quán)限。在ACL中，可以設(shè)置子文件和子目錄繼承父目錄的權(quán)限，這樣可以簡(jiǎn)化權(quán)限管理的工作。同時(shí)，在傳統(tǒng)的Linux文件權(quán)限中，一個(gè)文件只有所有者、所屬組和其他用戶的權(quán)限設(shè)置，這在某些復(fù)雜的權(quán)限需求面前顯得不夠用。ACL通過提供更多的權(quán)限設(shè)置選項(xiàng)，解決了這一問題。要使用文件的ACL，需要確保Linux內(nèi)核和文件系統(tǒng)支持。大多數(shù)現(xiàn)代Linux發(fā)行版默認(rèn)都支持ACL，但可以通過命令如dumpe2fs來檢查文件系統(tǒng)的ACL支持狀態(tài)。如果某些分區(qū)沒有啟用ACL，可以通過mount命令重新掛載分區(qū)并加入acl選項(xiàng)來啟用ACL權(quán)限。不同的操作系統(tǒng)對(duì)ACL的支持程度可能不同。例如，CentOS6.x及以上系統(tǒng)中ACL權(quán)限默認(rèn)是開啟的，而在其他系統(tǒng)中可能需要手動(dòng)開啟或檢查ACL權(quán)限的狀態(tài)。ACL權(quán)限的設(shè)置都是立即且永久生效的，不需要再編輯什么配置文件，這一點(diǎn)特別方便。但是，這也帶來了一個(gè)安全隱患。如果不小心設(shè)置錯(cuò)了權(quán)限，就會(huì)覆蓋掉文件原始的權(quán)限信息，并且永遠(yuǎn)都找不回來了。8知識(shí)鞏固1．單選題（（1）下列選項(xiàng)中，哪一項(xiàng)才是一條合法的基本ACL的規(guī)則？（）A．rulepermitip B．ruledenyip C．rulepermitsourceany D．ruledenytcpsourceany（2）高級(jí)ACL的編號(hào)范圍是？A．6000～6031 B．4000～4999 C．3000-3999 D．2000-2999（3）（6）下面哪項(xiàng)參數(shù)不能用于高級(jí)訪問控制列表？（）A．協(xié)議號(hào)

B．目的端口號(hào) C．物理接口 D．時(shí)間范圍（4）二層ACL的編號(hào)范圍是？（）A．2000-2999 B．3000-3999 C．4000～4999 D．6000～6031（5）基本型ACL只使用（）進(jìn)行匹配A．端口號(hào) B．網(wǎng)絡(luò)協(xié)議 C．源IP地址 D．目的IP地址謝謝觀看項(xiàng)目10企業(yè)私網(wǎng)訪問互聯(lián)網(wǎng)01學(xué)習(xí)目標(biāo)02項(xiàng)目概述03思維導(dǎo)圖04知識(shí)準(zhǔn)備05項(xiàng)目實(shí)施06項(xiàng)目小結(jié)07拓展知識(shí)08知識(shí)鞏固目錄知識(shí)目標(biāo)1．理解網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）出現(xiàn)的背景與作用。2．理解公網(wǎng)地址、私網(wǎng)地址等各種地址的含義。3．理解NAT原理和分類。技能目標(biāo)1．掌握靜態(tài)和動(dòng)態(tài)NAT配置方法。2．具備在不同場(chǎng)合下部署相適應(yīng)NAT的能力。素養(yǎng)目標(biāo)1．通過NAT的配置與部署，使學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。2．培養(yǎng)學(xué)生團(tuán)隊(duì)合作和溝通能力，有助于將來與其他工程技術(shù)人員進(jìn)行有效的協(xié)作。1學(xué)習(xí)目標(biāo)2項(xiàng)目概述上一個(gè)項(xiàng)目介紹了ACL技術(shù)，用來對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問控制，ACL是一種重要的安全機(jī)制，用于定義哪些用戶或系統(tǒng)進(jìn)程有權(quán)訪問特定的對(duì)象或系統(tǒng)資源，以及它們對(duì)這些資源具有哪些權(quán)限。因業(yè)務(wù)發(fā)展的需要，藍(lán)箭公司迫切需要將銷售等部門接入到Internet上，以便更好的開展業(yè)務(wù)。由于公司前期在組建局域網(wǎng)時(shí)使用的地址都是私網(wǎng)地址，無法直接接入Internet，所以公司網(wǎng)絡(luò)管理員小王向網(wǎng)絡(luò)運(yùn)營(yíng)商申請(qǐng)了一個(gè)公網(wǎng)地址，公司私網(wǎng)的電腦數(shù)量很多，一個(gè)公網(wǎng)地址并不能滿足所有電腦的上網(wǎng)需求。所以現(xiàn)在藍(lán)箭公司面臨的問題是如何將使用私網(wǎng)地址的主機(jī)通過有限的公網(wǎng)地址接入Internet。經(jīng)過查詢產(chǎn)品手冊(cè)，網(wǎng)絡(luò)管理員小王考慮使用NAT技術(shù)來解決這個(gè)問題。NAT可以將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，使得多個(gè)內(nèi)部設(shè)備共享同一個(gè)公網(wǎng)地址上網(wǎng)。小王準(zhǔn)備在網(wǎng)絡(luò)的出口路由器或防火墻上配置NAT功能，將公司內(nèi)部所有使用私網(wǎng)地址的電腦都連接到該設(shè)備上，然后，該設(shè)備將內(nèi)部主機(jī)發(fā)送的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換，將私網(wǎng)源IP地址替換為公網(wǎng)源IP地址，并在返回時(shí)將公網(wǎng)目標(biāo)IP地址還原為私網(wǎng)目標(biāo)IP地址。這樣，即使公司只有一個(gè)公網(wǎng)地址，所有私網(wǎng)主機(jī)也可以通過這個(gè)地址共享上網(wǎng)。3思維導(dǎo)圖本項(xiàng)目主要學(xué)習(xí)NAT技術(shù)，其所含知識(shí)點(diǎn)如圖10-1所示。圖10-1本項(xiàng)目知識(shí)點(diǎn)4知識(shí)準(zhǔn)備NAT技術(shù)主要作用是將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以實(shí)現(xiàn)內(nèi)部設(shè)備與公網(wǎng)的通信。NAT有效地節(jié)省了公網(wǎng)IPv4地址資源，增強(qiáng)了網(wǎng)絡(luò)安全性，隱藏了私網(wǎng)結(jié)構(gòu)，防止了直接攻擊。此外，NAT還可以實(shí)現(xiàn)負(fù)載均衡，通過PAT形式，多個(gè)內(nèi)部設(shè)備可以共享同一個(gè)公網(wǎng)地址，提高了網(wǎng)絡(luò)的效率和可靠性。就網(wǎng)絡(luò)安全而言，NAT隱藏了私網(wǎng)的真實(shí)IP地址，防止了公網(wǎng)直接訪問內(nèi)部設(shè)備，從而增強(qiáng)了網(wǎng)絡(luò)的安全性。通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，NAT形成了一個(gè)安全屏障，有效地阻止了一些潛在的網(wǎng)絡(luò)攻擊和入侵。此外，NAT還可以對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理，識(shí)別并過濾惡意流量，提高網(wǎng)絡(luò)的抗攻擊能力。在當(dāng)今數(shù)字化快速發(fā)展的時(shí)代，網(wǎng)絡(luò)安全扮演著舉足輕重的角色。4知識(shí)準(zhǔn)備當(dāng)我們深入探討NAT的工作原理與實(shí)際應(yīng)用時(shí)，也不難發(fā)現(xiàn)其與網(wǎng)絡(luò)安全、國(guó)家安全以及公民道德緊密相連。首先，NAT技術(shù)所展現(xiàn)的“隱藏”與“保護(hù)”的功能，也提醒我們?cè)谌粘Ｉ钪幸獙W(xué)會(huì)保護(hù)自己和他人的隱私。在網(wǎng)絡(luò)空間中，我們要尊重他人的隱私權(quán)，不隨意泄露他人信息，不侵犯他人權(quán)益。這種尊重隱私的道德觀念，不僅適用于網(wǎng)絡(luò)世界，更是我們?nèi)粘Ｉ钪胁豢苫蛉钡牡赖聹?zhǔn)則。其次，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是責(zé)任與擔(dān)當(dāng)?shù)捏w現(xiàn)。作為網(wǎng)絡(luò)使用者，我們不僅要了解網(wǎng)絡(luò)安全知識(shí)，更要樹立正確的網(wǎng)絡(luò)安全觀念，自覺遵守網(wǎng)絡(luò)道德規(guī)范，不傳播、不制造網(wǎng)絡(luò)病毒，不參與網(wǎng)絡(luò)攻擊等違法行為。最后，網(wǎng)絡(luò)安全與國(guó)家安全之間存在著緊密而不可分割的聯(lián)系。網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分和保障，而國(guó)家安全也離不開網(wǎng)絡(luò)安全的支持。因此，我們應(yīng)該高度重視網(wǎng)絡(luò)安全問題，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)和管理，確保國(guó)家的整體安全。綜上所述，NAT技術(shù)不僅是實(shí)現(xiàn)網(wǎng)絡(luò)通信的重要工具，更是網(wǎng)絡(luò)安全與道德教育的生動(dòng)教材。通過學(xué)習(xí)NAT技術(shù)及其背后的網(wǎng)絡(luò)安全理念，我們可以更好地理解網(wǎng)絡(luò)安全的重要性，提高網(wǎng)絡(luò)安全意識(shí)，樹立正確的網(wǎng)絡(luò)安全觀念，為構(gòu)建安全、和諧、穩(wěn)定的網(wǎng)絡(luò)環(huán)境貢獻(xiàn)自己的力量。本次項(xiàng)目將介紹NAT基礎(chǔ)、NAT原理和NAT的分類（包括靜態(tài)NAT、動(dòng)態(tài)NAT、NAPT、EasyIP和NATServer）。4知識(shí)準(zhǔn)備NAT技術(shù)，最初因其在IPv4地址空間緊缺問題上的出色表現(xiàn)而備受矚目，如今已成為網(wǎng)絡(luò)架構(gòu)中不可或缺的一部分。NAT不僅通過地址轉(zhuǎn)換有效節(jié)約了IP地址資源，還顯著提升了網(wǎng)絡(luò)安全性，因?yàn)楣W(wǎng)的主機(jī)無法直接訪問私網(wǎng)的主機(jī)，形成了天然的防護(hù)屏障。此外，對(duì)于企業(yè)而言，NAT技術(shù)也帶來了實(shí)質(zhì)性的經(jīng)濟(jì)效益，它減少了在申請(qǐng)公網(wǎng)地址上的開支，因?yàn)榛ヂ?lián)網(wǎng)通信中的這些地址并非免費(fèi)提供。4.1NAT的基本概念4知識(shí)準(zhǔn)備1．NAT基礎(chǔ)（1）私網(wǎng)地址和公網(wǎng)地址公網(wǎng)地址：或者稱為公網(wǎng)IP地址，是互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）進(jìn)行統(tǒng)一分配的網(wǎng)絡(luò)地址，其核心目的是為了確保在全球互聯(lián)網(wǎng)范圍內(nèi)的唯一性。這些公網(wǎng)地址是互聯(lián)網(wǎng)通信的基礎(chǔ)，使得任何連接到互聯(lián)網(wǎng)的設(shè)備都能被準(zhǔn)確地識(shí)別和定位。私網(wǎng)地址：或者稱為私網(wǎng)IP地址，在特定網(wǎng)絡(luò)環(huán)境中，如大學(xué)內(nèi)部封閉的實(shí)驗(yàn)室網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備之間的通信并不一定需要連接到全球互聯(lián)網(wǎng)。在這種情況下，為了確保網(wǎng)絡(luò)內(nèi)部設(shè)備間的順暢通信，同時(shí)避免與全球公網(wǎng)地址的沖突，我們采用了特定的IP地址段，即私網(wǎng)地址。在IP地址的分類中，A、B、C三類地址中均預(yù)留了部分地址空間作為私網(wǎng)地址，這些地址僅在私網(wǎng)中使用，不與全球公網(wǎng)地址重復(fù)。A類私網(wǎng)地址：10.0.0.0到10.255.255.255。B類私網(wǎng)地址：172.16.0.0到172.31.255.255。C類私網(wǎng)地址：192.168.0.0到192.168.255.255。（2）地址池地址池是一組由全球唯一的IP地址構(gòu)成的集合。當(dāng)私網(wǎng)的數(shù)據(jù)包需要通過地址轉(zhuǎn)換訪問公網(wǎng)時(shí)，這些數(shù)據(jù)包會(huì)選擇地址池中的一個(gè)地址作為轉(zhuǎn)換后的源地址。這種方式能夠高效利用可用的公網(wǎng)地址資源，從而增強(qiáng)私網(wǎng)與公網(wǎng)之間的互訪能力。4.1NAT的基本概念4知識(shí)準(zhǔn)備2．NAT原理如圖10-2所示，某單位私網(wǎng)中所有主機(jī)都已分配到私網(wǎng)地址，這時(shí)私網(wǎng)中主機(jī)A想要瀏覽網(wǎng)站，那么就需要與Web服務(wù)器通信。因?yàn)樗骄W(wǎng)中的主機(jī)是不能直接與公網(wǎng)中的主機(jī)通信的，最簡(jiǎn)單的辦法就是再申請(qǐng)一些公網(wǎng)地址，可是這樣做是不容易實(shí)現(xiàn)的，因?yàn)楣W(wǎng)地址已經(jīng)所剩不多，目前使用得更多的方法是使用一臺(tái)具有NAT功能的路由器來實(shí)現(xiàn)，NAT路由器至少擁有一個(gè)公網(wǎng)地址和一個(gè)私網(wǎng)地址。4.1NAT的基本概念圖10-2NAT的工作原理4知識(shí)準(zhǔn)備NAT路由器收到從私網(wǎng)主機(jī)A發(fā)往公網(wǎng)Web服務(wù)器的請(qǐng)求報(bào)文P，P中會(huì)有源地址，即發(fā)送方主機(jī)A的私網(wǎng)地址192.168.1.101，以及目的地址，即接收方web服務(wù)器的公網(wǎng)地址101.227.172.11。由于私網(wǎng)與公網(wǎng)是不能直接通信的，所以這時(shí)NAT路由器把報(bào)文P的私網(wǎng)源地址192.168.1.101轉(zhuǎn)換為新的公網(wǎng)源地址58.192.65.10，這樣才能轉(zhuǎn)發(fā)給Web服務(wù)器。這時(shí)，NAT路由器會(huì)將私網(wǎng)地址192.168.1.101和公網(wǎng)地址58.192.65.10寫入到NAT地址映射表中。下面再來分析Web服務(wù)器是如何發(fā)送應(yīng)答報(bào)文Q給主機(jī)A的。Web服務(wù)器通過查看請(qǐng)求報(bào)文P的源地址，以為主機(jī)A的地址是58.192.65.10，所以將應(yīng)答報(bào)文Q的目的地址寫成這個(gè)地址。當(dāng)NAT路由器收到應(yīng)答報(bào)文Q后，通過之前保留的NAT地址映射表，把應(yīng)答報(bào)文Q上的公網(wǎng)目的地址轉(zhuǎn)換為私網(wǎng)目的地址192.168.1.101，這樣就能使應(yīng)答報(bào)文Q順利地發(fā)送給私網(wǎng)主機(jī)A了。那么剛才提到的NAT地址映射表又是什么呢？其實(shí)，為了做好Web服務(wù)器向主機(jī)A回傳數(shù)據(jù)的準(zhǔn)備，NAT路由器會(huì)在NAT地址映射表里保留私網(wǎng)地址192.168.1.101和公網(wǎng)地址58.192.65.10的映射關(guān)系，表明這個(gè)報(bào)文當(dāng)時(shí)是由私網(wǎng)中的哪臺(tái)主機(jī)發(fā)往Web服務(wù)器的，那么當(dāng)收到Web服務(wù)器的應(yīng)答報(bào)文Q時(shí)，NAT路由器會(huì)從這個(gè)映射關(guān)系中找出該發(fā)往私網(wǎng)中的哪臺(tái)主機(jī)。4.1NAT的基本概念4知識(shí)準(zhǔn)備NAT涵蓋了多種類型，每種都有其特定的適用場(chǎng)景。例如，有些NAT技術(shù)特別適用于私網(wǎng)向公網(wǎng)發(fā)起通信的情況，但在反向場(chǎng)景中可能并不適用。因此，在部署NAT技術(shù)時(shí)，深入分析和理解網(wǎng)絡(luò)環(huán)境及其具體需求顯得尤為重要。接下來，我們將通過具體案例，簡(jiǎn)要闡述幾種基本NAT技術(shù)的核心概念和運(yùn)作原理。這些案例均基于一個(gè)共同的前提：在私網(wǎng)與公網(wǎng)之間的通信中，通信的發(fā)起方通常位于私網(wǎng)側(cè)。4.2NAT的分類4知識(shí)準(zhǔn)備1．靜態(tài)NAT我們首先來探討一種基礎(chǔ)的NAT技術(shù)，即靜態(tài)NAT，也稱為簡(jiǎn)單NAT。如圖10-3所示，某公司擁有一個(gè)私網(wǎng)網(wǎng)絡(luò)，該網(wǎng)絡(luò)通過路由器R1與Internet相連。在R1上，G0/0/2接口連接至Internet，而GE0/0/1接口則連接至公司的私網(wǎng)。這個(gè)私網(wǎng)由3臺(tái)主機(jī)組成，他們的IP地址分別是192.168.1.101/24、192.168.1.102/24和192.168.1.103/24。在私網(wǎng)中。為了與公網(wǎng)進(jìn)行通信，該公司獲得了3個(gè)可用的公網(wǎng)地址，分別是58.192.65.1、58.192.65.2和58.192.65.3。4.2NAT的分類圖10-3靜態(tài)NAT的工作原理4知識(shí)準(zhǔn)備為了實(shí)現(xiàn)私網(wǎng)與Internet之間的通信，我們?cè)诼酚善鱎1上應(yīng)用了靜態(tài)NAT技術(shù)。靜態(tài)NAT的核心機(jī)制在于創(chuàng)建并維護(hù)一個(gè)靜態(tài)的地址映射表，該表詳細(xì)記錄了公網(wǎng)地址與私網(wǎng)地址之間的映射關(guān)系。假設(shè)PC1嘗試與Internet上的服務(wù)器建立連接，因此它發(fā)送了一個(gè)IP報(bào)文P，這個(gè)報(bào)文的源IP地址是私網(wǎng)地址192.168.1.101，而目的地址是公網(wǎng)地址101.227.172.11。當(dāng)報(bào)文P到達(dá)路由器R1時(shí)，R1會(huì)在預(yù)先配置的靜態(tài)地址映射表中查找與報(bào)文P的源IP地址，即私網(wǎng)地址192.168.1.101相對(duì)應(yīng)的公網(wǎng)地址。根據(jù)圖10-3中的靜態(tài)地址映射表，私網(wǎng)地址192.168.1.101被映射到了公網(wǎng)地址58.192.65.1。因此，NAT會(huì)修改報(bào)文P的源IP地址，將其從192.168.1.101更改為58.192.65.1。經(jīng)過NAT轉(zhuǎn)換后的新報(bào)文后會(huì)通過R1的G0/0/2接口被轉(zhuǎn)發(fā)到Internet上，并最終抵達(dá)Web服務(wù)器。這樣，私網(wǎng)中的設(shè)備就能夠通過靜態(tài)NAT技術(shù)，使用公網(wǎng)地址與Internet上的服務(wù)器進(jìn)行通信了。從上述討論中，我們可以看出靜態(tài)NAT的運(yùn)作機(jī)制是非常直觀明的。然而，這種技術(shù)的一個(gè)顯著局限是它并不節(jié)約公網(wǎng)地址資源。因此，在NAT的實(shí)際應(yīng)用中，靜態(tài)NAT的部署并不常見。靜態(tài)NAT的核心要求在于私網(wǎng)地址與公網(wǎng)地址之間必須維持一種恒定的、一一對(duì)應(yīng)的映射關(guān)系。當(dāng)面臨私網(wǎng)地址數(shù)量超過可用公網(wǎng)地址時(shí)，靜態(tài)NAT顯然無法提供有效的解決方案。在這種情況下，需要尋找其他NAT技術(shù)來應(yīng)對(duì)，比如動(dòng)態(tài)NAT或NAPT，它們能夠更靈活、高效地管理IP地址資源。這些技術(shù)通過動(dòng)態(tài)分配公網(wǎng)地址或利用端口號(hào)來擴(kuò)展公網(wǎng)地址的可用性，從而滿足私網(wǎng)內(nèi)更多設(shè)備訪問公網(wǎng)的需求。4.2NAT的分類4知識(shí)準(zhǔn)備2．動(dòng)態(tài)NAT隨著公司規(guī)模的擴(kuò)大，公司內(nèi)部的私網(wǎng)用戶數(shù)量顯著增加，然而可供公司使用的公網(wǎng)地址數(shù)量仍然保持不變，僅有3個(gè)。當(dāng)前的情況是，公網(wǎng)地址的數(shù)量已經(jīng)無法滿足所有私網(wǎng)用戶的需求。若繼續(xù)在R1上部署靜態(tài)NAT，將意味著部分用戶將無法與Internet建立通信。然而，在深入分析用戶的通信行為后，發(fā)現(xiàn)了一個(gè)重要的統(tǒng)計(jì)特征，即大多數(shù)用戶的通信活動(dòng)主要發(fā)生在公司私網(wǎng)之中，而與Internet的通信需求僅占很小的比例。這意味著，同時(shí)與Internet進(jìn)行通信的私網(wǎng)用戶數(shù)幾乎不會(huì)超過3個(gè)。基于這一發(fā)現(xiàn)，我們可以考慮在R1上配置動(dòng)態(tài)NAT，以更有效地利用有限的公網(wǎng)地址資源，確保在不影響內(nèi)部通信的前提下，滿足與Internet通信的需求。動(dòng)態(tài)NAT技術(shù)通過設(shè)置一個(gè)公網(wǎng)地址資源池以及一個(gè)動(dòng)態(tài)地址映射表來管理IP地址的分配。當(dāng)私網(wǎng)用戶嘗試與Internet通信時(shí)，NAT系統(tǒng)會(huì)首先檢查資源池中是否還有可用的公網(wǎng)地址。基于前面的分析，在大多數(shù)情況下，資源池中的地址應(yīng)該是充足的。如果找到可用地址，NAT會(huì)從中選擇一個(gè)，并在動(dòng)態(tài)地址映射表中創(chuàng)建一個(gè)新表項(xiàng)，記錄這個(gè)公網(wǎng)地址與請(qǐng)求通信的私網(wǎng)地址之間的映射關(guān)系。一旦用戶完成了與Internet的通信，NAT系統(tǒng)會(huì)自動(dòng)刪除這個(gè)映射表項(xiàng)，并將之前分配給用戶的公網(wǎng)地址釋放回資源池，以供其他用戶將來使用。通過這種方式，動(dòng)態(tài)NAT允許同一個(gè)公網(wǎng)地址在不同的時(shí)間被分配給不同的私網(wǎng)用戶使用，從而高效地利用了有限的公網(wǎng)地址資源。4.2NAT的分類4知識(shí)準(zhǔn)備在圖10-4所示的場(chǎng)景中，當(dāng)PC1需要與位于Internet上的服務(wù)器進(jìn)行通信時(shí)，PC1發(fā)送了一個(gè)IP報(bào)文P。這個(gè)報(bào)文的源IP地址是私網(wǎng)地址192.168.1.101，而目標(biāo)地址則是公網(wǎng)地址101.227.172.11，指向服務(wù)器。隨著報(bào)文P在網(wǎng)絡(luò)中的傳輸，當(dāng)?shù)竭_(dá)配置有NAT功能的路由器R1時(shí)，R1在NAT公網(wǎng)地址資源池中選擇了一個(gè)可用的公網(wǎng)地址58.192.65.1。接著，R1在其動(dòng)態(tài)地址映射表中創(chuàng)建了一個(gè)表項(xiàng)，將公網(wǎng)地址58.192.65.1與私網(wǎng)地址192.168.1.101關(guān)聯(lián)起來，并將P的源IP地址從192.168.1.101更改為58.192.65.1，從而生成了一個(gè)新的IP報(bào)文P。這個(gè)新的報(bào)文P通過R1的G0/0/2接口發(fā)送到Internet，并最終到達(dá)目標(biāo)服務(wù)器。4.2NAT的分類圖10-4動(dòng)態(tài)NAT的工作原理4知識(shí)準(zhǔn)備當(dāng)服務(wù)器響應(yīng)PC1的請(qǐng)求時(shí)，它會(huì)發(fā)送一個(gè)IP報(bào)文Q。Q的源IP地址是服務(wù)器的公網(wǎng)地址101.227.172.11，而目的IP地址是NAT為PC1分配的公網(wǎng)地址58.192.65.1。當(dāng)報(bào)文Q到達(dá)路由器R1時(shí)，R1會(huì)檢查動(dòng)態(tài)地址映射表，找到與目的IP地址58.192.65.1相匹配的表項(xiàng)，發(fā)現(xiàn)與其對(duì)應(yīng)的私網(wǎng)地址為192.168.1.101。隨后，R1將報(bào)文Q的目的IP地址從58.192.65.1更改為192.168.1.101，生成一個(gè)新的IP報(bào)文，這個(gè)新報(bào)文通過R1的G0/0/1接口被轉(zhuǎn)發(fā)到私網(wǎng)，并最終到達(dá)PC1。一旦PC1與服務(wù)器的通信完成，NAT設(shè)備會(huì)清除與這次會(huì)話相關(guān)的動(dòng)態(tài)地址映射表項(xiàng)，并將之前分配給PC1的公網(wǎng)地址58.192.65.1釋放回公網(wǎng)地址資源池，以便將來可以被其他設(shè)備使用。這一過程確保了公網(wǎng)地址的高效利用，同時(shí)也保障了私網(wǎng)中設(shè)備的安全性和隱私性。4.2NAT的分類4知識(shí)準(zhǔn)備3．網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NetworkAddressPortTranslation，NAPT）NAPT在分配公網(wǎng)地址時(shí)，不僅轉(zhuǎn)換IP地址，還同步轉(zhuǎn)換端口號(hào)，從而允許一個(gè)公網(wǎng)地址服務(wù)于多臺(tái)私網(wǎng)主機(jī)。這種“一對(duì)多”的轉(zhuǎn)換策略極大提升了IP地址的利用率，使得有限的公網(wǎng)IP資源能夠支持更多私網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問。NAPT廣泛應(yīng)用于各種需要高效利用IP地址的場(chǎng)景，如家庭網(wǎng)絡(luò)、小型企業(yè)網(wǎng)絡(luò)等，通過智能的端口映射技術(shù)，為私網(wǎng)主機(jī)提供安全、穩(wěn)定的上網(wǎng)服務(wù)。如圖10-5所示，私網(wǎng)主機(jī)PC1試圖與Web服務(wù)器101.227.172.11通信，訪問其網(wǎng)頁(yè)。PC1的源IP地址是192.168.1.101，并采用了高位隨機(jī)端口號(hào)10457，目標(biāo)端口號(hào)為80。當(dāng)報(bào)文P到達(dá)路由器R1時(shí)，R1從公網(wǎng)地址資源池中選取一個(gè)可用的公網(wǎng)地址58.192.65.1，并替換報(bào)文P中的源IP地址，同時(shí)將源端口號(hào)轉(zhuǎn)換為1036。4.2NAT的分類4知識(shí)準(zhǔn)備當(dāng)Web服務(wù)器響應(yīng)報(bào)文P時(shí)，它會(huì)發(fā)送報(bào)文Q到路由器上指定的公網(wǎng)地址和端口，即58.192.65.1:1036。路由器通過反向查找，能夠確定這個(gè)報(bào)文Q應(yīng)該轉(zhuǎn)發(fā)給哪個(gè)私網(wǎng)設(shè)備，并相應(yīng)地轉(zhuǎn)換目的IP地址和端口號(hào)為192.168.1.101:10457，確保數(shù)據(jù)包能夠準(zhǔn)確地到達(dá)PC1。通過NAPT的這種轉(zhuǎn)換機(jī)制，路由器能夠利用少量的公網(wǎng)地址為大量的內(nèi)部設(shè)備提供互聯(lián)網(wǎng)訪問服務(wù)。這不僅提高了IP地址的利用率，也增強(qiáng)了網(wǎng)絡(luò)的安全性。4.2NAT的分類圖10-5NAPT的工作原理4知識(shí)準(zhǔn)備4．EasyIPEasyIP技術(shù)是一種簡(jiǎn)化的NAPT。它不需要預(yù)先分配多個(gè)公網(wǎng)地址資源池，而是僅利用單個(gè)公網(wǎng)地址作為外部訪問的接口。在這個(gè)方案中，如圖10-6所示，該公網(wǎng)地址直接綁定到路由器R1的G0/0/2接口上，并動(dòng)態(tài)維護(hù)一個(gè)地址映射表。這張表將私網(wǎng)源地址加端口與公網(wǎng)源地址加端口進(jìn)行映射。G0/0/2接口的公網(wǎng)地址配置方式靈活，既可以是手動(dòng)靜態(tài)配置，也可以通過動(dòng)態(tài)分配機(jī)制（如DHCP）獲取。這為用戶提供了更高的靈活性和可適應(yīng)性。4.2NAT的分類圖10-6EasyIP的工作原理4知識(shí)準(zhǔn)備在功能上，除了地址管理方式上的簡(jiǎn)化，EasyIP的其他工作原理和NAPT是一致的，它都提供了從私網(wǎng)到公網(wǎng)的地址轉(zhuǎn)換和端口映射功能，確保私網(wǎng)用戶可以訪問互聯(lián)網(wǎng)。EasyIP的核心優(yōu)勢(shì)在于其高效利用資源的能力，因?yàn)樗恍韫芾硪粋€(gè)公網(wǎng)地址，減少了配置和維護(hù)的復(fù)雜性。以下是NAPT和EasyIP的區(qū)別。（1）NAPT（使用NAT地址池）這種方法允許管理員指定一個(gè)或多個(gè)公網(wǎng)地址作為地址池，內(nèi)部主機(jī)在訪問公網(wǎng)時(shí)，將從這個(gè)地址池中選取一個(gè)公網(wǎng)地址，并結(jié)合不同的端口號(hào)進(jìn)行流量轉(zhuǎn)換。這樣，即便多個(gè)內(nèi)部主機(jī)使用相同的公網(wǎng)地址，它們的流量也能通過不同的端口號(hào)進(jìn)行區(qū)分。（2）EasyIP（使用出接口的公網(wǎng)地址）EasyIP直接使用路由器或網(wǎng)關(guān)的出接口上配置的公網(wǎng)地址進(jìn)行NAPT。在這種情況下，所有內(nèi)部主機(jī)的流量都會(huì)通過這個(gè)公網(wǎng)地址進(jìn)行轉(zhuǎn)換，并通過不同的端口號(hào)來區(qū)分各自的流量。這種方法相對(duì)簡(jiǎn)單，無需配置額外的地址池?？梢哉fEasyIP是一種特殊的NAPT。4.2NAT的分類4知識(shí)準(zhǔn)備5．NATServerNATServer實(shí)現(xiàn)了私網(wǎng)服務(wù)器對(duì)外的提供服務(wù)，通過限制外部訪問的端口加強(qiáng)了網(wǎng)絡(luò)安全性。NATServer在靜態(tài)NAT基礎(chǔ)上增加了端口映射功能，實(shí)現(xiàn)了私網(wǎng)地址加端口號(hào)到公網(wǎng)地址加端口號(hào)的映射。這種映射確保了只有指定的外部端口可訪問內(nèi)部服務(wù)，從而增強(qiáng)了網(wǎng)絡(luò)的安全性。4.2NAT的分類4知識(shí)準(zhǔn)備如圖10-7所示，私網(wǎng)服務(wù)器計(jì)劃通過TCP端口80對(duì)外提供Web服務(wù)。其私網(wǎng)地址為192.168.1.101。路由器配置了NAT功能，將私網(wǎng)服務(wù)器的私網(wǎng)地址和端口號(hào)192.168.1.101:80映射至公網(wǎng)地址58.192.65.1:80。當(dāng)外部用戶或設(shè)備嘗試訪問58.192.65.1:80時(shí)，路由器會(huì)執(zhí)行NAT轉(zhuǎn)換，將目標(biāo)IP地址和端口號(hào)58.192.65.1:80調(diào)整為私網(wǎng)服務(wù)器的實(shí)際地址和端口192.168.1.101:80，確保流量能夠準(zhǔn)確轉(zhuǎn)發(fā)至私網(wǎng)服務(wù)器。當(dāng)私網(wǎng)服務(wù)器響應(yīng)請(qǐng)求時(shí)，路由器會(huì)依據(jù)先前的映射規(guī)則，將服務(wù)器的響應(yīng)報(bào)文的源IP地址和端口號(hào)192.168.1.101:80轉(zhuǎn)換為公網(wǎng)地址和端口號(hào)58.192.65.1:80，再發(fā)送至公網(wǎng)客戶機(jī)。4.2NAT的分類圖10-7NATServer的工作原理5項(xiàng)目實(shí)施1．任務(wù)描述由于藍(lán)箭公司初期規(guī)模不大，主機(jī)數(shù)量很少，網(wǎng)管小王準(zhǔn)備采用靜態(tài)NAT為每個(gè)私網(wǎng)主機(jī)指定一個(gè)固定的公網(wǎng)地址，使得該私網(wǎng)地址可以直接訪問公網(wǎng)。小王用R1作為公司出口網(wǎng)關(guān)，并配置為NAT設(shè)備，公司內(nèi)部的所有主機(jī)都通過交換機(jī)S1與R1進(jìn)行連接，而R2則模擬公網(wǎng)設(shè)備，與R1直接相連。NAT網(wǎng)絡(luò)拓?fù)淙鐖D10-8所示，設(shè)備地址表如表10-1所示。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)圖10-7NATServer的工作原理表10-1設(shè)備地址表5項(xiàng)目實(shí)施2．實(shí)施步驟（1）IP地址配置根據(jù)設(shè)備地址表進(jìn)行基本配置，并使用ping命令檢測(cè)各PC和R1的連通性，R1到R2的連通性。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)（2）靜態(tài)NAT配置在R1在配置到R2的缺省路由。5項(xiàng)目實(shí)施由于企業(yè)內(nèi)部使用的是私網(wǎng)地址，無法直接訪問公網(wǎng)資源，因此需要通過NAT將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。網(wǎng)管小王為公司銷售經(jīng)理使用的主機(jī)PC1分配了1個(gè)公網(wǎng)地址58.192.65.11，實(shí)現(xiàn)了一對(duì)一的地址轉(zhuǎn)換。進(jìn)入到R1的G0/0/1接口下，使用natstatic命令，將PC1的私網(wǎng)地址192.168.1.101-192.168.65.13與分配的公網(wǎng)地址58.192.65.11-58.192.65.13進(jìn)行靜態(tài)綁定。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)通過displaynatstatic命令可以查看NAT靜態(tài)配置的情況。5項(xiàng)目實(shí)施在PC1上可以成功地ping通8.8.8.8。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)5項(xiàng)目實(shí)施3．測(cè)試分析事先在R1的G0/0/1接口上使用Wireshark軟件抓包，然后在PC1上ping8.8.8.8。如圖10-9所示，從R1的G0/0/1接口上的抓包可以看出，R1成功的將私網(wǎng)地址192.168.1.101轉(zhuǎn)換為公網(wǎng)地址58.192.65.11。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)圖10-9R1的G0/0/1接口上抓包5項(xiàng)目實(shí)施R2上配置了一個(gè)環(huán)回口Loopback0，在R2上也可以用Loopback0作為源地址ping通PC1，注意這時(shí)R2只要ping58.192.65.11就可以了。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)5項(xiàng)目實(shí)施通過在ping命令執(zhí)行之前在R1的G0/0/0接口和PC1的E0/0/1上的抓包。如圖10-10所示，可以發(fā)現(xiàn)R1收到R2發(fā)來的ICMP報(bào)文的公網(wǎng)目的地址為58.192.65.11。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)圖10-10R1的G0/0/0接口上抓包5項(xiàng)目實(shí)施如圖10-11所示可以發(fā)現(xiàn)，R1成功的將R2發(fā)來的ICMP報(bào)文的公網(wǎng)目的地址58.192.65.11轉(zhuǎn)換成為了私網(wǎng)目的地址192.168.1.101，并成功發(fā)給PC1。任務(wù)5.1使用靜態(tài)NAT訪問互聯(lián)網(wǎng)圖10-11PC1的E0/0/1接口上抓包5項(xiàng)目實(shí)施1．任務(wù)描述經(jīng)過一段時(shí)間的發(fā)展，藍(lán)箭公司內(nèi)容需要連通Internet的主機(jī)數(shù)量增加到10臺(tái)，如果還是采用靜態(tài)NAT技術(shù)，那么需要的公網(wǎng)地址就要達(dá)到10個(gè)，成本比較高，于是網(wǎng)管小王準(zhǔn)備采用動(dòng)態(tài)NAT來解決這個(gè)問題。在深入分析用戶的通信行為后，小王發(fā)現(xiàn)大多數(shù)用戶的通信活動(dòng)主要發(fā)生在公司私網(wǎng)之中，同時(shí)與Internet進(jìn)行通信的私網(wǎng)用戶數(shù)幾乎不會(huì)超過3個(gè)。基于這一發(fā)現(xiàn)，小王向電信部門申請(qǐng)了3個(gè)公網(wǎng)地址，準(zhǔn)備在R1上配置動(dòng)態(tài)NAT，以更有效地利用有限的公網(wǎng)地址資源。動(dòng)態(tài)NAT網(wǎng)絡(luò)拓?fù)浜虸P地址表與任務(wù)3.5.1一致。2．實(shí)施步驟（1）IP地址配置根據(jù)設(shè)備地址表進(jìn)行基本配置，并使用ping命令檢測(cè)各PC和R1的連通性，以及R1到R2的連通性。任務(wù)5.2使用動(dòng)態(tài)NAT訪問互聯(lián)網(wǎng)5項(xiàng)目實(shí)施（2）動(dòng)態(tài)NAT配置在R1在配置到R2的缺省路由。任務(wù)5.2使用動(dòng)態(tài)NAT訪問互聯(lián)網(wǎng)在R1在配置NAT地址池，用來指定公網(wǎng)地址池，包括公網(wǎng)IP的起始地址和結(jié)束地址，另外還需要配置地址池的編號(hào)，便于后期調(diào)用。創(chuàng)建ACL，用來對(duì)流量進(jìn)行限制，這里我們僅對(duì)192.168.1.0/24這個(gè)網(wǎng)段的流量放行，所以實(shí)用基本ACL就可以了。5項(xiàng)目實(shí)施網(wǎng)管小王向電信部門額外申請(qǐng)了3個(gè)公網(wǎng)地址，58.192.65.11-58.192.65.13，進(jìn)入到R1的G0/0/1接口下，使