省气象广域网项目.ppt

扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 从/24来的,到0的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！ 路由器 扩展访问控制列表举例 /16 ICMP主机重定向报文 rule deny tcp source 55 destination 55 destination-port equal www logging /16 TCP报文 /24 WWW 端口 问题: 下面这条访问控制列表表示什么意思? rule deny udp source 55 destination 55 destination-port greater-than 128 rule deny icmp source 55 destination any icmp-type host-redirect 如何使用访问控制列表 Internet 公司总部网络 启用防火墙 将访问控制列表应用到接口上 防火墙配置常见步骤： 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上 防火墙的属性配置命令 打开或者关闭防火墙 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit|deny } 显示防火墙的状态信息 display firewall 在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置： firewall packet-filter acl-number [inbound | outbound] Ethernet0 访问控制列表101 作用在Ethernet0接口 在out方向有效 Serial0 访问控制列表3 作用在Serial0接口上 在in方向上有效 地址转换 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址与公有地址 Internet LAN1 LAN2 LAN3 私有地址范围： - 55 - 55 - 55 地址转换的原理 Internet 局域网 PC2 PC1 IP: Port:3000 IP 报文 IP: Port:4000 IP: Port:3010 IP: Port:4001 地址转换 利用ACL控制地址转换 可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。 Internet 局域网 PC2 PC1 设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。 地址转换的配置任务列表 定义一个访问控制列表，规定什么样的主机可以访问Internet。 采用EASY IP或地址池方式提供公有地址。 根据选择的方式（地址池方式还是Easy IP方式），在连接Internet接口上允许地址转换。 根据局域网的需要，定义合适的内部服务器。 Easy IP 配置 Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置： nat outbound acl-number interface Internet 局域网 PC2 PC1 PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址 S0: 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 Internet 局域网 PC2 PC1 地址池 使用地址池进行地址转换配置 使用地址池进行地址转换配置 定义地址池 nat address-group start-addr end-addr pool-name 在接口上使用地址池进行地址转换 nat outbound acl-number pool-name 内部服务器的应用 Internet 内部服务器 外部用户 E0 Serial 0 内部地址: 内部端口:80 外部地址: 外部端口:80 IP: 配置地址转换: IP地址: ←→ 端口: 80←→80 允许外部用户访问 内部服务器 内部服务器配置 内部服务