Z17访问控制列表和地址转换及配置ISSUE1.0.ppt

内部服务器的应用 Internet 内部服务器 外部用户 E0 Serial 0 内部地址: 内部端口:80 外部地址: 外部端口:80 IP: 配置地址转换: IP地址: ←→ 端口: 80←→80 允许外部用户访问 内部服务器 内部服务器配置 内部服务器配置命令格式 nat server global global-addr { global-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } 此例的配置 nat server global 80 inside 80 tcp NAT的监控与维护 显示地址转换配置 display nat 设置地址转换连接有效时间 nat aging-time {tcp | udp | icmp} seconds nat aging-time default 清除地址转换连接 nat reset 地址转换的缺点 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 课程内容 访问控制列表 地址转换 访问控制列表与地址转换实例 典型访问列表和地址转换综合应用配置实例 Internet FTP 服务器 Telnet 服务器 WWW 服务器 公司内部局域网 特定的外部用户 配置步骤 按照实际情况具有以下几个步骤： 允许防火墙 定义扩展的访问控制列表 在接口上应用访问控制列表 在接口上利用访问控制列表定义地址转换 配置内部服务器的地址映射关系 配置命令 [Quidway]firewall enable [Quidway]firewall default permit [Quidway]acl 101 [Quidway-acl-101]rule deny ip source any destination any [Quidway-acl-101]rule permit ip source 0 destination any [Quidway-acl-101]rule permit ip source 0 destination any [Quidway-acl-101]rule permit ip source 0 destination any [Quidway-acl-101]rule permit ip source 0 destination any [Quidway-acl-101]acl 102 [Quidway-acl-102]rule deny ip source any destination any [Quidway-acl-102]rule permit tcp source 0 destination 0 配置命令(续) [Quidway-acl-102]rule permit tcp source any destination 0 destination-port greater-than 1024 [Quidway-Ethernet0]firewall packet-filter 101 inbound [Quidway-Serial0]firewall packet-filter 102 inbound [Quidway-Serial0]nat outbound 101 interface [Quidway-Serial0]nat server global inside ftp tcp [Quidway-Serial0]nat server global inside telnet tcp [Quidway-Serial0]nat server global inside www tcp 本章总结 包过滤技术的基本规则和原理 标准和扩展访问控制列表的配置方法 访问控制列表用于防火墙 地址转换的基本概念和规则 地址转换的配置方法 * 此为封面页，需列出课程编码、课程名称和课程开发室名称。 要求：每个子课程（6位编码的课程）要求做一个这样的胶片，胶片文件命名为“课程编码 课程名称.ppt”。 此页胶片仅在授课时使用，胶片＋注释中不使用。 封面页按产品分为4个，各产品使用自己的封面，把其他封面直接删除即可。 * 此页列出学习本课程需要达到的目标