HL-008 访问控制列表与地址转换V5.1课件.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * 地址转换的配置任务列表 定义一个访问控制列表，规定什么样的主机可以访问Internet。 采用EASY IP或地址池方式提供公有地址。 根据选择的方式（EASY IP方式还是地址池方式），在连接Internet接口上允许地址转换。 根据局域网的需要，定义合适的内部服务器。 EASY IP 配置 EASY IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置： nat outbound acl-number 局域网 PC2 PC1 PC1 和 PC2 可以直接使用 S0/0接口的IP 地址作为地址转换后的公用IP地址 S0/0: Internet 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 局域网 PC2 PC1 地址池 Internet 使用地址池进行地址转换 定义地址池 nat address-group group-number start-addr end-addr 在接口上使用地址池进行地址转换 nat outbound acl-number address-group group-number [ no-pat ] 一对一的地址转换 配置从内部地址到外部地址的一对一转换 nat static ip-addr1 ip-addr2 使已经配置的NAT一对一转换在接口上生效 nat outbound static 内部服务器的应用 内部服务器 外部用户 E0/0 S0/0 内部地址: 内部端口:80 外部地址: 外部端口:80 IP: 配置地址转换: IP地址: ←→ 端口: 80←→80 允许外部用户访问 内部服务器 Internet 内部服务器的配置 内部服务器配置命令 nat server [ vpn-instance vpn-instance-name ] protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ] nat server [ vpn-instance vpn-instance-name ] protocol pro-type global global-addr global-port 1 global-port2 inside host-addr1 host-addr2 host-port 此例的配置 nat server protocol tcp global 80 inside 80 NAT的监控与维护 显示地址转换配置 display nat { address-group | aging-time | all | outbound | server | statistics | session [ vpn-instance vpn-instance-name ] [ slot slot-number ] [ destination ip-addr ] [source global global-addr | source inside inside-addr ] } 设置地址转换连接有效时间 nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds } 清除地址转换连接 reset nat{ log-entry | session slot slot-number } 打开nat调试开关 debugging nat { alg | event | packet [ interface interface-type interface-number ] } 地址转换的缺点 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 访问控制列表 地址转换 访问控制列表与地址转换实例 目录 访问列表和地址转换应用实例 FTP 服务器 Telnet 服务器 WWW 服务器 公司内部局域网 E0/0: 内部特定主机 S0/0: 外部特定主机 Internet 配置步骤 按照实际情况需要以下几个步骤： 允许防火墙 定义扩展的访问控制列表 在接口上应用访问控