使用访问控制列表.pptVIP

第 7 章 使用访问控制列表实现IP信息管理 本章目标 了解访问控制列表的基本知识 计算通配符掩码 配置IP标准访问控制列表 配置IP扩展访问控制列表 控制VTY访问控制 用NAT和PAT扩展网络 7.1 访问控制列表 7.1.1 什么是访问列表 标准的 检验源地址 一般允许或者禁止整个协议栈 扩展的 检查源和目的地址 通常允许或者禁止某个具体的协议 访问控制列表要绑定到路由器的接口的输入或输出方向上 7.1.2 为什么使用访问列表 7.1.3 访问控制列表的类型 标准型访问控制列表 扩展型访问控制列表 7.2 如何操作访问控制列表 7.2.1 访问列表作用方向 入站访问列表 出站访问列表 7.2.2 访问控制列表的作用 7.2.2 访问控制列表的作用（续） 7.2.3 出站访问列表 7.2.4 测试清单：拒绝或允许 7.3 访问列表配置指南 访问控制列表的编号标明哪个协议是被过滤的 每个接口，每个协议，每个方向上可以有一个访问控制列表 访问控制列表的顺序决定被检验的顺序 最特殊的规则应该被放到访问控制列表的前面 在访问控制列表的最后有隐含的规则“禁止所有的” 访问控制列表应绑定到端口上 访问控制列表过滤通过路由器的包；但是不能过滤由路由器自身产生的包 7.3.1 如何标识访问列表 7.3.2 配置IP访问控制列表 访问列表命令概述 配置标准IP访问列表 标准IP访问列表示例 1 标准IP访问列表示例 2 标准IP访问列表示例 3 扩展IP访问列表配置 扩展访问列表示例 1 扩展访问列表示例 2 标准和扩展访问列表对比 实际应用步骤 第1步: 创建一个访问控制列表 第2步: 指定接口 第3步: 定义方向 7.4 如何控制vty访问 7.4.1 过滤到路由器的虚拟终端(vty)访问 五个虚拟通道 (0 到 4) 过滤哪些地址能登录到路由器上 过滤路由器能登录到哪些设备上 7.4.1 虚拟终端的line命令 7.4.2 虚拟终端访问示例 7.5 使用名称IP访问列表 7.6 验证访问控制列表 7.6 验证访问控制列表（续） 7.7 用NAT来缩放网络 7.7.1 NAT技术的定义 NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。 7.7.2 NAT技术的基本原理和类型 在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址用合法的IP地址来替换。 NAT有三种类型： 静态NAT(Static NAT) 动态地址NAT(Pooled NAT) 网络地址端口转换PAT 7.7.4 NAT的配置 1、静态转换设置： ip nat inside source static inside-local-address inside-global-address 7.7.4 NAT的配置（续） 2、动态转换的设置 ①ip nat pool pool-name first-address last-address {netmask netmask | prefix-length prefix-length} ②access-list access-list-number permit source-ip source-wildcard ③ip nat inside source list access-list-number pool poolname ? 7.7.4 NAT的配置（续） 3、过载（PAT） 过载的配置与动态转换的配置相似，只是在ip nat inside命令中加上overload选项。 ip nat inside source list access-list-number pool pool-name overload 本章总结 IP访问列表的关键作用和特殊过程 配置标准的IP访问列表 用访问类控制虚拟终端访问 扩展的IP访问列表 配置网络地址翻译NAT wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broa