《交换机_路由器配置与管理教学课件 PPT 作者 桑世庆 卢晓慧 项目十一、访问控制列表和NAT配置》由会员分享,可在线阅读,更多相关《交换机_路由器配置与管理教学课件 PPT 作者 桑世庆 卢晓慧 项目十一、访问控制列表和NAT配置(22页珍藏版)》请在金锄头文库上搜索。
1、项目十一 访问控制列表和NAT 主讲:桑世庆,项目背景,某集团公司总公司的内部网系统是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营系统。而计划在上海建立的分公司网络是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。,任务分解,任务1:访问控制列表和NAT概述 任务2:访问控制列表配置 任务3:NAT配置,随,任务1:问控制列表和NAT概述,1要使用访问控制列表的原因 最初的网络只是连接有限的LAN和PC,随着路由器连接内部和外部的网络,以及Internet网的普及,控制访问成为新的挑战,网络管
2、理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问?访问控制列表增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管理员限制网络流量,也可以控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口。,2访问控制列表使用原则 (1)最小特权原则。 (2)最靠近受控对象原则。 (3)默认丢弃原则。,3ACL的分类 ACL技术可以有效地在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。 (1)标准IP访问控制列表。一个标准IP访问控制列表匹配IP包中的源
3、地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围从199的访问控制列表是标准IP访问控制列表。 (2)扩展IP访问控制列表。扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围从100199的访问控制列表是扩展IP访问控制列表。 (3)命名的IP访问控制列表。所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种访问控制列表,定义过滤的语句与编号方式中的语句相似。,4配置访问控制列表的步骤如下 (1)创建访问控制列表。 access-list
4、access-list-number deny|permit test conditions /access-list-number:序列号,这个地方也可以写命名的名称。 /deny:拒绝。 /permit:允许。 /test conditions:过滤条件语句 (2)应用访问控制列表。 首先要进入接口模式,然后使用下列命令应用访问控制列表。 ip access-group access-list-number in|out,5标准访问控制列表的格式 access-list list number| word permit|deny source address wildcard mask /
5、list number|word: 列表序列号或者命名。 /permit|deny: 允许或者拒绝。 /source address: 源IP地址。 /wildcard mask: 掩码,如果不使用掩码,则使用关键字host,如host 192.168.2.4。,6扩展访问控制列表的格式 access-list list number| word permit | deny protocol | protocol key word source address source-swidcard mask source port destination address destination-wi
6、ldceard mask destination port /list number| word: 访问控制列表的序列号或者命名。 /permit | deny: 允许或者拒绝。 /protocol | protocol key word: 协议或者协议号。 /source address: 源IP地址。 /source-swidcard mask: 源地址掩码,如果使用关键字host,则不用掩码。 /source port: 源端口。 /destination address: 目的地IP地址。 /destination-wildceard mask: 目的地地址掩码,如果使用host关键字
7、,则不用掩码。 /destination port: 目的端口,7NAT技术 NAT(网络地址转换)是用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用Intranet中的主机无需一个为的(以及越来越缺乏的)Internet地址即可透明地连接到公共域中的主机。 8NAT实现方式 NAT的实现方式有3种,即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用OverLoad。 静态转换:是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有
8、IP地址。借助于静态转换,用户可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。,任务2:访问控制列表配置,通过实验的学习,读者可以实现以下功能。 192.168.1.1的主机对R4访问。 192.168.1.3的主机对R4访问。 131.16.24.0的网段主机对R4访问。 192.168.1.2的主机对R4访问。,整个主干网以总公司的信息中心为管理中心,向外辐射,通过各部门、单位等几个节点构成主干网。中心节点机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心节点交换机上还配置第三层交换模块和网络监控模块。主干各节点及服务器采用100Mbit/s的链路连
9、接,普通工作站采用交换式100Mbit/s的链路连接。总公司采用ACL对访问的分公司进行限制,具体测试拓扑如图11-2所示。,情景描述,1标准访问控制列表的配置 (1)配置各路由器的IP地址,并使用ping命令确认直连接口相互可以ping通。 R4(config)#interface loopback 0 R4(config-if)#ip add 10.1.1.1 255.255.255.0 R4(config-if)#ip address 10.2.2.1 255.255.255.0 secondary /使用secondary关键字,可以为接口配置多个从地址。 R4(config-if)#
10、 (2)在各台路由器上启用OSPF协议。 (3)配置ACL的标准IP访问控制列表,它应放置离目标最近的接口。 R4(config)#access-list 1 permit 192.168.1.1 0.0.0.0 R4(config)#access-list 1 permit host 192.168.1.3 R4(config)#access-list 1 permit 131.16.24.0 0.0.0.255 R4(config)#access-list 1 permit host 172.16.1.1,R4(config)#access-list 2 deny 192.168.1.2
11、0.0.0.0 R4(config)#access-list 2 permit any (4)将ACL应用到接口。 R4(config)#interface serial 1/2 R4(config-if)#ip access-group 1 in R4(config-if)#exit (5)测试。 R1ping 172.16.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds: ! Success rate is 100 percent (5
12、/5), round-trip min/avg/max = 96/147/188 ms R2ping 172.16.1.2,(6)查看相关的ACL的配置属性。 R4#show ip interface serial 1/2 Serial1/2 is up, line protocol is up Internet address is 172.16.1.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set
13、Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.5 224.0.0.6 Outgoing access list is not set Inbound access list is 1 扩展访问控制列表的配置和标准访问列表配置基本相同,任务3:NAT配置,通过实验的学习,读者可以掌握以下技能。 配置静态NAT。 配置动态NAT。 应用访问控制列表。,企业的远程访问系统包括通过专线网络、公用电话网和通过CHINANET构成的企业内部虚拟专用网络(VPN)。企业总部内采用快速以太
14、网连接。而对于市区以外的部门和单位,则利用CHINANET和Internet网及数据加密技术构成企业的内部虚拟专用网,而对于分公司则采NAT方式连接公网,具体拓扑如图11-3所示。,情景描述,1配置静态NAT (1)R1配置NAT转换。 R1(config)#int f0/0 /设置内部接口地址 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown R1(config)#int s1/0 /设置外部接口地址 R1(config-if)#ip address 1.1.1.1 255.255.2
15、55.252 R1(config-if)#no shutdown R1(config)#ip nat inside source static 192.168.1.1 172.16.1.1 R1(config)#ip nat inside source static 192.168.1.2 172.16.1.2 /在内部局部和内部全局地址之间建立静态地址转换,R1(config)#int f0/0 R1(config-if)#ip nat inside /在内部接口启用NAT R1(config-if)#exit R1(config)#int s1/0 R1(config-if)#ip nat
16、 outside /在外部接口上启用NAT R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 /启用默认路由,(2)R2配置接口。 R2en R2#conf t R2(config)#int s1/1 R2(config-if)#ip address 1.1.1.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#int f0/0 R2(config-if)#ip address 2.2.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1,(3)验证。 PC1: PC1#
