地铁网络设备配置ACL和NAT配置.ppt

路由器的扩展配置 一、访问控制列表ACL配置 二、NAT配置 访问控制列表引入 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 一、访问控制列表ACL概述 ACL (Access Control Lists)概念： 控制网络通信流量的手段，也是网络安全策略的一个组成部分。 ACL是作用于网络设备（路由器、交换机、防火墙等）接口的指令列表，设备根据这些指令列表的内容决定接收还是放弃数据包，有时称包过滤。 ACL可根据数据包报头中的任何部分进行接收或拒绝数据包，常见有： 协议类型：UDP、TCP、ICMP等 协议地址：如IP地址，包括源和目标地址 协议端口：这是ACL最常基于的信息 ACL的两种执行方式 接收在ACL列表中指定的主机和网络的访问，其他主机和网络都被拒绝。（permit) 拒绝在ACL列表中指定的主机和网络的访问，其他主机和网络都被接收。(deny) 二、访问控制列表ACL工作原理 ACL可对进入路由器端口的数据包进行过滤，也可从路由器端口出去的数据包进行过滤。 如何标识访问控制列表？ 标准ACL和扩展ACL 标准访问控制列表 标准访问控制列表只针对数据包的源IP地址进行过滤，表明是允许还是拒绝。 三、标准访问控制列表的配置 使用命令ip access-group将列表应用于接口 In: 对从该接口进入的数据包进行过滤 Out：对从该接口流出的数据包进行过滤 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 补充：ACL Access-list是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。 Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。 access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。 Access-list动作分为两种：允许通过(permit)或拒绝通过(deny) 在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配。 包被拒绝或允许的过程 标准访问控制列表举例 1 只允许内部的网段访问 标准访问控制列表举例 2 从E0出端口时拒绝FTP的包 标准访问控制列表举例 3 拒绝从3来的信息通过路由器转发出去 标准访问控制列表举例 4 拒绝子网发来的信息通过路由器转发 如何检验访问控制列表 如何监视访问控制列表的状态 四、扩展访问控制列表（1） 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 四、扩展访问控制列表（2） 扩展的访问控制列表配置（2） 设定相应的参数；列表号从100到199 指定列表的作用范围 扩展的访问控制列表配置（2） 扩展访问控制列表举例1 拒绝从网段发起的telnet包通过E0端口转发出去 允许其它的流量 扩展访问控制列表举例2 ACL配置实例1：标准访问控制列表 ACL配置实例1步骤 配置端口IP地址，启用路由协议，连通整个网络 在路由器router1进口上配置ACL 测试网段不能访问网段 监测结果显示 r1#show ip access-lists 1 Standard IP access list 1 deny 55 (4 match(es)) permit any (240 match(es)) 监测结果显示 r1#clear access-list counters 1 清空访问控制列表各行的匹配数，再r1#show ip access-lists 1,以便观察实验结果. ACL配置实例2:扩展ACL ACL配置要求:要求拒绝/24网段发往/24网段的ICMP Echo包。 本实验在ACL1的基础上完成(先清除ACL列表) 在路由器R0上配置TELNET登陆时需要的配置参数:VTY密码及enable密码(主要用来验证PING 不通,但可以TELNET) 在R1上设置扩展ACL R1(Config)#access-list 101 deny icmp 55 55 echo R1(Config)#access