S7 ACL与NAT技术(网络技术之路由)概要1.ppt

其他访问控制列表 CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络，除非这些数据是由内部网络所发起会话的一部分 其他访问控制列表 在该拓扑结构中，CBAC被配置在内部接口E0上，允许外部数据流访问DMZ(连接在接口E1上的军事区)中的服务(如DNS服务)，同时防止指定的协议数据流入内部网络，除非这些数据流是由内部网络所发起的会话的一部分 其他访问控制列表 结合Cisco防火墙配置的路由器处理流量应该遵循以下原则： 如果内部ACL通过，路由器将把所有的内部包发送到Cisco防火墙 被允许的流量满足防火墙IP检查步骤，将把允许的连接状态信息添加到状态表中 流量通过IP检查过程，接着创建动态ACL条目并且把它放入外部ACL中，这样返回流量在经过路由器时将被允许通过 验证访问控制列表 Show access-list Show access-list 110 Show ip access-list Show ip interface Show run 小结 区分标准ACL与扩展ACL间的区别 熟练掌握标准ACL与扩展ACL的配置命令 通过学习能够判断什么时候应用于哪种ACL * 要求 掌握NAT的应用场合 理解NAT的工作原理 掌握NAT的配制方法 NAT的使用 在内部网络中使用内部私有地址，通过NAT把内部地址翻译成合法的公网IP地址，在Internet上使用。 其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。 应用NAT的位置 没有足够的公网ip时 想要屏蔽内网的细节时 想不改变访问的前提下增加内部的灵活性 NAT的优缺点 优点 节约合法注册地址 减少地址重叠出现 增加连接因特网的灵活性 网络变更时避免地址的重新分配 缺点 地址转换产生交换延迟 无法进行端到端的ip跟踪 不是所有应用都支持 网络地址转换类型 静态NAT 一个内网ip对应一个外网ip 动态NAT 多个内网ip对应多个外网ip （一个内网ip动态对应一个外网ip） 重载NAT 多个内网ip对应一个外网ip 通过附加端口号来实现 NAT术语 内部本地 转换之前内部源地址 内部全局 转换之后内部主机的地址 外部本地 转换之前目标主机的地址 外部全局 转换之后目标主机的地址 NAT工作原理(静态) NAT工作原理（复用） 将一个内部全局地址用于同时代表多个内部局部地址。 主要用IP地址和端口号的组合来唯一区分各个内部主机。 适合应用于中小形的企业 NAT工作原理(PAT) NAT配置 静态NAT配置 ip nat inside source static interface ehternet 0 ip nat intside exit interface serial0 ip nat outside 动态NAT配置 动态NAT配置 access-list 10 per 55 ip nat pool gointernet 54 netmask ip nat inside source list 10 pool gointernet interface Ethernet 0 ip nat inside interface Serial 0 ip nat outside PAT(复用)配置 重载NAT配置(PAT) ip nat pool gowan netmask ip nat inside source list 10 pool gointernet overload NAT配置 还要应用到接口上 interface f0/0 ip nat inside exit int f0/1 ip nat outside exit 验证NAT Show ip nat translation Show ip nat statics 内网访问外网的服务，在外网被访问的电脑上netstat –an Clear ip nat translation 小结 理解NAT术语 记住NAT的三种方式 掌握三种NAT的配置方式 * * * Ip路由是使用路由器从一个网络到另一个网络传送数据包的过程。 典型是：rip igrp eigrp ospf 哈尔滨工业大学华德应用技术学院计算机应用技术系 王家宁 哈尔滨工业大学华德应用技术学院计算机应用技术系 王家宁 哈尔滨工业大学华德应用技术学院计算机应用技术系 王家宁 * 要求： 编写一个满足用户需求的访问列