第四讲_访问控制列表与网络地址转换NAT

(1)定义：access-list 10 permit 172.168.1.3 (2)应用：line vty 0 4 access-class 10 in
学习目标
七、网络地址转换（NAT）

通过本章的学习，希望 您能够：

掌握网络地址转换（NAT）的概念 掌握NAT工作原理及配置方法 掌握NAPT工作原理及配置方法
应用ACL
Router(config-if)#
ip access-group access-list-number { in | out }
(二)、扩展命名式ACL
配置扩展名称ACL
Router(config)#
ip access-list extended { name | access-list-number }
要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根 据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检 查以后的其他条件判断语句。





（4）最有限制性的语句应该放在ACL语句的首行。把“全部允许”或者“全部拒绝” 这样的语句放在末行或接近末行。 （5）新的表项只能被添加到ACL的末尾。如果必须改变，只有先删除已存在的ACL， 然后创建一个新ACL，将新ACL应用到相应的接口上。 （6）在将ACL应用到接口之前，一定要先建立ACL。 （7）ACL语句不能被逐条的删除，只能一次性删除整个 ACL。 （8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有 一条“允许”的语句。 （9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。
配置NAT

配置静态端口地址转换
Router(config-if)#
ip nat { inside | outside }

指定一个内部接口和一个外部接口
Router(config)#
ip nat inside source static { tcp | udp } local-ip local-port interface | global-ip } global-port
地址空间不足带来的问题



注册IP地址空间将要耗尽，而internet的规模 仍在持续增长 随着internet的增长，骨干互联网路由选择表 中的IP路由数据也在增加，这引发了路由选择 算法的扩展问题 NAT是一种节约大型网络中注册IP地址并简化 IP寻址管理任务的机制，NAT已经标准化并在 RFC1613中描述。
应用名称ACL
Router(config-if)#
ip access-group name { in | out }
命名式 ACL配置示例
验证ACL实验在机房完成。
六、控制vty（telnet）访问


阻止用户远程登录路由器是困难的，因为路由器 的活动端口是允许VTY访问的。(用扩展ACL) 将访问控制列表应用到VTY线路上时，就不需要 指定TELNET协议，应为vty隐含了TELNET,也不 要指定目标地址。因此可以使用标准访问控制列 表。配置方法：
NAT的工作过程

静态NAT
NAT的工作过程

动态NAT
配置NAT

配置静态内部源地址转换
Router(config-if)#
指定一个内部接口和一个外部接口 ipnat { inside | outside }
Router(config)#

配置静态转换条目
ip nat inside source static local-ip { interface interface | global-ip }
ip access-group access-list-number { in | out } in表示应用到接口的入方向，对收到的报文进行检查 out表示应用到接口的外出方向，对发送的报文进行检查
标准号码式ACL配置示例
要求172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务 器172.17.1.1不受限制。
Router(config)#
access-list access-list-number { permit | deny } { any | source sourcewildcard } [ time-range time-range-name ]
应用ACL
Router(config-if)#
应用ACL
Router(config-if)#
ip access-group access-list-number { in | out }
扩展号码式 ACL配置示例
172.17.1.1为公司的文件服务器，要求网段172.16.1.0中的主机能够访问 172.17.1.1中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。
扩展转换条目
（ extended translation entry ） 对的转换条目。
NAT术语

NAT转换包括多种不同类型，并可用于多种目 的



静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部 IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络 访问到时。 动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中 的一个IP地址。 超载（Overloading）NAT：动态NAT的一种实现形式，利用不同 端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、 NAPT或端口复用NAT。(基于端口的地址转换)
配置ACL规则
Router(config-ext-nacl)#
{ permit | deny } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ time-range timerange-name ] [ dscp dscp ] [ fragment ]
在内部网络中看到的外部主机的IP地址，通常来自RFC 1918定义的私有地址空间。
外部全局IP地址
外部本地IP地址 简单转换条目
(simple translation entry)
将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。 将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）
第四讲 访问控制列表与 网络地址转换NAT
ACL基本原理 号码式访问列表（标准号码式和扩展号码式） 命名式访问列表（标准命名式和扩展命名式） ACL控制vty（TELNET）访问及验证 NAT和PAT基本原理 动态和静态的NAT和PAT
一、什么是ACL



访问控制列表（Access Control List，ACL） 是路由器和 交换机接口的指令列表，用来控制端口进出的数据包。 ACL适用于所有的路由协议，如IP、IPX、AppleTalk等。 内外网络的通信都是企业网络中必不可少的业务需求，为 了保证内网的安全性，需要通过安全策略来保障非授权用 户只能访问特定的网络资源，从而达到对访问进行控制的 目的。简而言之，ACL可以过滤网络中的流量，控制访问 的一种网络技术手段。 ACL的定义也是基于每一种协议的。如果路由器接口配置 成为支持三种协议（IP、AppleTalk以及IPX）的情况，那 么，用户必须定义三种ACL来分别控制这三种协议的数据 包。
术语
内部本地IP地址 内部全局IP地址
定义
分配给内部网络中的主机的IP地址，通常这种地址来自RFC 1918指定的私有 地址空间。 内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全 局惟一的地址空间，通常是ISP提供的。 外部网络中的主机的IP地址，通常来自全局可路由的地址空间。
五、命名式 ACL
（一）命名式标准ACL
配置标准名称ACL
Router(config)#
ip access-list standard { name | access-list-number }
配置ACL规则
Router(config-std-nacl)#
{ permit | deny } { any | source source-wildcard } [ time-range time-rangename ]

NAT概述

地址空间不足带来的问题 NAT的用途 NAT术语

配置NAT

NAT的工作过程 配置NAT

配置NAPT

NAPT的工作过程 配置NAPT

验证和诊断NAT转换 NAT的注意事项
NAT概念



NAT英文全称是“Network Address Translation”，中文意 思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许 一个整体机构以一个公用IP（Internet Protocol）地址出 现在Internet上。 它是一种把内部私有网络地址（IP地址）翻译成合法网络 IP地址的技术。 NAT的典型应用是将使用私有IP地址（RFC 1918）的园 区网络连接到Internet
（10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。 （11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。

尽可能把IP标准ACL放置在离目标近的地方；尽可能把IP来自百度文库展ACL放置在离源地址近 的地方。
三、ACL分类

（1）标准ACL和扩展ACL

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作 为表号，扩展的ACL使用 100 ~ 199以及2000~2699之 间的数字作为表号。

（2）号码式ACL和命名式ACL

ACL的方向：

in ACL:先处理，后路由 Out ACL:先路由，后处理
四、号码式ACL
(一) 标准号码式ACL

编号规则

1~99和1300~1399

过滤元素

仅源IP地址信息 用于简单的访问控制、路由过滤等
配置标准号码式 ACL
配置ACL规则

{ interface
配置静态转换条目
配置NAT

配置动态NAT
NAT的用途
解决地址空间不足的问题；
IPv4的空间已经严重不足
私有IP地址网络与公网互联；
10.0.0.0/8，172.16.0.0/12，192.168.0.0/16
非注册IP地址网络与公网互联；
建网时分配了全局IP地址－但没注册
网络改造中，避免更改地址带来的风险
NAT术语
ACL可以限制网络流量、提高网络性能 ；ACL提供对通信流量的控制手段； ACL是提供网络安全访问的基本手段。

二、ACL规则、设置要点


（1）ACL的列表号指出了是那种协议的ACL。各种协议有自己的ACL，而每个协议 的ACL又分为标准ACL和扩展ACL。 （2）每协议、每接口、每方向的只能配置一个ACL。路由器的一个接口上每一种协议 可以配置进方向和出方向两个ACL。 （3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重
（二）扩展号码式 ACL
编号规则
100~199和2000~2699
过滤元素
源IP地址、目的IP地址、协议、源端口、目的端口 用于高级的、精确的访问控制
配置扩展号码式 ACL
配置ACL规则
Router(config)#
access-list access-list-number { deny | permit } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-rangename ] [ dscp dscp ] [ fragment ]