中职培训安全题稿.ppt

访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号 IP访问列表配置注意事项 1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用 3、访问列表的缺省规则是：拒绝所有 基于时间的ACL 基于时间的ACL 对于不同的时间段实施不同的访问控制规则 在原有ACL的基础上应用时间段 任何类型的ACL都可以应用时间段 时间段 绝对时间段（absolute） 周期时间段（periodic） 混合时间段 配置时间段 配置时间段 time-range time-range-name Router(config)# 配置绝对时间 absolute { start time date [ end time date ] | end time date } Router(config-time-range)# start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年” end time date：表示时间段的结束时间，格式与起始时间相同 示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008 配置时间段（续） 配置周期时间 periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm periodic { weekdays | weekend | daily } hh:mm to hh:mm Router(config-time-range)# day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday hh:mm：表示时间 weekdays：表示周一到周五 weekend：表示周六到周日 daily：表示一周中的每一天 示例：periodic weekdays 09:00 to 18:00 配置时间段（续） 应用时间段 在ACL规则中使用time-range参数引用时间段 只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响 确保设备的系统时间的正确！ 基于时间的ACL配置示例 在上班时间（9：00~18：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。 课程议题 网络地址转换 NAT NAT实施 NAT优点： 节省公共地址 可减少编址方案重叠的情况发生 将私有网络转化成公网时，无需要重新进行编址 NAT缺点： NAT会增加延迟 无法进行端到端的IP跟踪 NAT使某些在有效负载中使用IP地址的应用无法运行 配置静态NAT 第一步：在路由器上配置IP路由选择和IP地址。 第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ip nat { inside | outside }。 第三步：使用全局命令ip nat inside source static local-ip { interface interface | global-ip } 配置静态转换条目。 配置静态端口地址转换 第一步：在路由器上配置IP路由选择和IP地址。 第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat { inside | outside }。 第三步：使用全局命令ip nat inside source static { tcp | udp } local-ip local-port { interface interface | global-ip } global-port指定静态PAT条目。 该页为PPT正文部分 议题：为本页PPT的总结性语句，尽量使用概括性的少数文字表述。 使用30磅黑体，黑色，加阴影。 正文：分为标题和正文两部分。 占位符位于PPT白色部分最中央； 标题分为一级标题和二级标题 一级标题字数不要太多，长度不要超过两行； 一级标题使用21磅黑体，加阴影，暗红色；左对齐，项目编号统一；行距1.5； 二级标题使用18磅华文细黑，加阴影，蓝色；行距1.3； 同级标题表示前后