交换机_路由器配置与管理教学课件 作者 桑世庆 卢晓慧 项目十一、访问控制列表和NAT配置.pptVIP

项目十一访问控制列表和NAT主讲：桑世庆 项目背景 某集团公司总公司的内部网系统是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体，连接生产、经营、维护、运营系统。而计划在上海建立的分公司网络是一个面向企业日常业务、立足生产、面向社会服务，辅助领导决策的计算机信息网络系统。 任务分解 任务1：访问控制列表和NAT概述 任务2：访问控制列表配置 任务3：NAT配置 随 任务1：问控制列表和NAT概述 1．要使用访问控制列表的原因 最初的网络只是连接有限的LAN和PC，随着路由器连接内部和外部的网络，以及Internet网的普及，控制访问成为新的挑战，网络管理员面临两难的局面：如何拒绝不期望的访问而允许需要的访问？访问控制列表增加了在路由器接口上过滤数据包出入的灵活性，可以帮助管理员限制网络流量，也可以控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口。 2．访问控制列表使用原则 （1）最小特权原则。 （2）最靠近受控对象原则。 （3）默认丢弃原则。 3．ACL的分类 ACL技术可以有效地在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。 （1）标准IP访问控制列表。一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围从1～99的访问控制列表是标准IP访问控制列表。 （2）扩展IP访问控制列表。扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围从100～199的访问控制列表是扩展IP访问控制列表。 （3）命名的IP访问控制列表。所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种访问控制列表，定义过滤的语句与编号方式中的语句相似。 4．配置访问控制列表的步骤如下 （1）创建访问控制列表。 access-list access-list-number {deny|permit} {test conditions} //access-list-number：序列号，这个地方也可以写命名的名称。 //deny：拒绝。 //permit：允许。 //test conditions：过滤条件语句 （2）应用访问控制列表。 首先要进入接口模式，然后使用下列命令应用访问控制列表。 ip access-group access-list-number {in|out} 5．标准访问控制列表的格式 access-list [list number| word] [permit|deny] [source address] [wildcard mask] //[list number|word]: 列表序列号或者命名。 //[permit|deny]: 允许或者拒绝。 //[source address]: 源IP地址。 //[wildcard mask]: 掩码，如果不使用掩码，则使用关键字host，如host 192.168.2.4。 6．扩展访问控制列表的格式 access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port] //[list number| word]: 访问控制列表的序列号或者命名。 //[permit | deny]: 允许或者拒绝。 //[protocol | protocol key word]: 协议或者协议号。 //[source address]: 源IP地址。 //[source-swidcard mask]: 源地址掩码，如果使用关键字host，则不用掩码。 //[source port]: 源端口。 //[destination address]: 目的地IP地址。 //[destination-wildceard mask]: 目的地地址掩码，如果使用host关键字，则不用掩码。 //[destination port]: 目的端口 7．NAT技术 NAT（网络地址转换）是用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet）的标准方法。NAT允许一个机构