《網(wǎng)絡(luò)安全配置》PPT課件

1、第5章 網(wǎng)絡(luò)安全配置,中原工學(xué)院 計算機學(xué)院 網(wǎng)絡(luò)工程系,學(xué)習(xí)目標,掌握NAT動態(tài)轉(zhuǎn)換配置方法,掌握NAT靜態(tài)轉(zhuǎn)換配置方法,掌握應(yīng)用IP ACL配置方法,掌握擴展IP ACL定義方法,掌握標準IP ACL定義方法,5.1 ACL配置,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),ACL通過應(yīng)用訪問控制列表到路由器接口 來管理流量和審視特定分組。 ACL適用于所有的路由協(xié)議，當分組經(jīng)過 路由器時進行過濾。 可在路由器上配置ACL以控制對某一網(wǎng)絡(luò) 或子網(wǎng)的訪問。 ACL的定義必須基于協(xié)議。,訪問

2、控制列表 （Access Control List，ACL）,是一個連續(xù)的允許和拒絕語句的集合，關(guān)系 到地址或上層協(xié)議。,（2）一個ACL的配置是每協(xié)議、每接口、每 方向的。 （3）ACL的語句順序決定了對數(shù)據(jù)包的控制 順序。 （4）最有限制性的語句應(yīng)放在ACL語句的首 行。 （5）在將ACL應(yīng)用到接口之前，一定要先建 立訪問控制列表。 （6）ACL的語句 能被逐條地刪除，只能一次 性地刪除整個訪問控制列表。 （7）在ACL的最后，有一條隱含的“全部拒絕” 的命令。 （8）ACL只能過濾穿過路由器的數(shù)據(jù)流量，不 能過濾路由器本身發(fā)出的數(shù)據(jù)包。,5.1 ACL配置,（1）ACL的列表號指出是哪種

3、協(xié)議的ACL,定義ACL時所應(yīng)遵循的規(guī)范：,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義標準IP訪問列表,access-list access-list-number deny | permit source source-wildcard,access-list-number,deny,permit,source,source-wildcard,訪問列表編號,在匹配條件語句時，拒絕分組通過,在匹配條件語句時，允許分

4、組通過,發(fā)送分組的源地址，指定源地址方式如下： 32位點分十進制。 使用關(guān)鍵字any，作為0.0.0.0 255.255.255.255的源地址和源地址通配符的縮寫字。,（可選項）通配符掩碼，指定源地址通配符掩碼方式如下： 32位點分十進制。 使用關(guān)鍵字any，作為0.0.0.0 255.255.255.255的源地址和源地址通配符的縮寫字。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,通配符掩碼:,一個32比特的數(shù)字字符串。 0 表示檢查相應(yīng)位 1 表示不檢查相應(yīng)位,

5、通配符掩碼跟IP地址是成對出現(xiàn)的。在通配符 掩碼的地址位使用1或0表明如何處理相應(yīng)的IP 地址位。 ACL使用通配符掩碼來標志一個或幾個地址是 被允許，還是被拒絕。,所有主機: 0.0.0.0 255.255.255.255,簡寫,any,特定的主機：172.30.16.29 0.0.0.0,簡寫,host,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 標準訪問列表允許IP地址范圍從 10.29.2.64到10.29.2.127的設(shè)備訪問。,例 標準訪問列表允許來自三

6、個指定網(wǎng)絡(luò)上的 主機訪問。,例 為了更容易地指定大量單獨地址，如果通 配符掩碼都為0，可以忽略。因此，如下三個 配置效果是一樣的。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 來自10.8.1.0網(wǎng)絡(luò)的主機被限制訪問該路由 器，但10.0.0.0網(wǎng)絡(luò)中所有其它IP主機被允許。 另外，地址10.8.1.23主機允許訪問該路由器。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置

7、實驗練習(xí),5.1 ACL配置,例 應(yīng)用列表101過濾從以太網(wǎng)接口0出站的分組。,在接口配置模式下,前提模式：,命令格式：,功能：,應(yīng)用一個IP訪問列表到一個接口,ip access-group access-list-name | access-list-number in | out,access-list-number,in,out,IP訪問列表的號碼,入站過濾分組,出站過濾分組,access-list-name,IP訪問列表名字,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 A

8、CL配置,例 定義訪問列表只允許在網(wǎng)絡(luò)192.89.55.0上 的主機連接到路由器上虛擬終端端口。,在線路配置模式下,前提模式：,命令格式：,功能：,限制一個特定的vty之間的傳入和 傳出連接和在訪問列表中的地址,access-class access-list-number in | out,in,out,在傳入連接限制,在傳出連接限制,access-list-number,IP訪問列表的號碼,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,擴展ACL,既可檢查分組的源地

9、址和目的地址，也 檢查協(xié)議類型和TCP或UDP的端口號。 可以基于分組的源地址、目的地址、協(xié) 議類型、端口地址和應(yīng)用來決定訪問是 被允許或者被拒絕。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義擴展IP訪問列表,access-list access-list-number deny | permit protocol source source-wildcard destination destination-wil

10、dcard,access-list-number,deny,permit,protocol,source,source-wildcard,destination,destination-wildcard,訪問控制列表編號,如果條件符合就拒絕訪問,如果條件符合就允許訪問,Internet協(xié)議名稱或號碼,發(fā)送分組的網(wǎng)絡(luò)號或主機,應(yīng)用于源地址的反向掩碼,分組的目的網(wǎng)絡(luò)號或主機,應(yīng)用于目的地址的反向掩碼,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 串行接口0是地址為10.8

11、8.0.0的B類網(wǎng)絡(luò)的一 部分，郵件主機的地址為10.88.1.2。established 關(guān)鍵字只用在TCP協(xié)議，表示一個建立的連接。 如果TCP數(shù)據(jù)包中的ACK或RST被設(shè)置，那么匹 配發(fā)生，表明分組屬于一個存在的連接。,例 允許DNS分組和ICMP回送和回送回答分組。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 串行接口0連接路由器到Internet。IGMP 的host-report報文被禁止在任何內(nèi)部主機與 任何Internet上外部主機之間傳送。,例 以

12、太網(wǎng)接口0連接路由器到防火墻以訪問 Internet。為了確保Internet RIP報文不進入 路由器，應(yīng)用了ACL104的拒絕RIP UDP報 文的入站過濾器。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,使用命名ACL有以下好處：,（1）直觀 （2）不受99條標準ACL和100條擴展ACL的限制 （3）方便修改,在全局配置模式下,前提模式：,命令格式：,功能：,定義一個使用名稱或編號的IP訪問列表,ip access-list standard | extende

13、d access-list-name | access-list-number,standard,extended,access-list-name,access-list-number,標準IP訪問列表,擴展IP訪問列表,IP訪問列表名稱,訪問列表的編號,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 定義標準訪問列表，命名為Internetfilter。,在實現(xiàn)命名ACL之前，需要考慮：,（1）11.2之前版本的Cisco IOS軟件不支持 命名ACL。 （2）不能

14、夠以同一名字命名多個ACL。,例 定義擴展訪問列表，命名為server-access,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 定義擴展訪問列表，命名為server-access,例 從標準命名ACL中刪除單獨的ACE。,例 從標準命名ACL中刪除單獨的ACE。,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,命令如下：,擴展的ACL命令如下：

15、,放置ACL的一般原則是：,擴展ACL盡可能放置在距離要被拒絕的 通信量近的地方。 標準ACL應(yīng)該盡可能放置在距離目的地 最近的地方。 如果要禁止PC3訪問PC1，可以在網(wǎng)絡(luò)中 使用標準的ACL,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,使用的位置,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 查看全部ACL。,在用戶模式或特權(quán)模式下,前提模

16、式：,命令格式：,功能：,顯示當前訪問列表的內(nèi)容,show access-lists access-list-number | access-list-name,access-list-number,access-list-name,(可選項) 訪問列表編號,(可選項) 訪問列表名稱,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,在特權(quán)模式下,前提模式：,命令格式：,功能：,顯示所有當前IP訪問列表的內(nèi)容,show ip access-list access-list-n

17、umber | access-list-name | interface interface-name in | out,access-list-number,access-list-name,interface interface-name,in,out,(可選項) IP訪問列表編號,(可選項) IP訪問列表名稱,(可選項) 接口名稱,(可選項) 輸入接口統(tǒng)計信息,(可選項) 輸出接口統(tǒng)計信息,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 顯示所有訪問列表。,例 顯

18、示指定名稱的訪問列表。,例 顯示快速以太網(wǎng)接口0/0的輸入統(tǒng)計信息,ACL配置 ACL概述 配置標準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.1 ACL配置,例 清除訪問列表101的計數(shù)器。,在特權(quán)模式下,前提模式：,命令格式：,功能：,清除訪問列表的計數(shù)器,clear access-list counters access-list-number | access-list-name,access-list-number,access-list-name,訪問列表編號,訪問列表名稱,ACL配置 ACL概述 配置標

19、準ACL 應(yīng)用ACL 配置擴展ACL 配置命名ACL ACL在網(wǎng)絡(luò)中的應(yīng)用位置 監(jiān)視與維護ACL NAT配置 實驗練習(xí),5.2 NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation),靜態(tài)轉(zhuǎn)換Static Nat 動態(tài)轉(zhuǎn)換Dynamic Nat 端口多路復(fù)用OverLoad,NAT的實現(xiàn)方式:,僅以增強的網(wǎng)絡(luò)狀態(tài)作為補充，而 忽略了IP地址端對端的重要性。,NAT解決方法的不足:,Inside Local IP Add

20、ress，內(nèi)部本地地址 Inside Global IP Address，內(nèi)部全局地址 Outside Local IP Address，外部本地地址 Outside Glocal IP Address，外部全局地址,NAT使用下列地址定義：,5.2 NAT配置,靜態(tài)NAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,靜態(tài)NAT命令格式：,功能：,啟用內(nèi)部源地址的NAT靜態(tài)轉(zhuǎn)換,ip nat inside source static local

21、-ip global-ip,內(nèi)部網(wǎng)絡(luò)主機本地IP地址,內(nèi)部主機全局IP地址,local-ip,global-ip,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,端口靜態(tài)NAT命令格式：,ip nat inside source static tcp | udp local-ip local-port global-ip global-port | interface global-port,網(wǎng)絡(luò)靜態(tài)NAT命令格式：,ip nat inside source static netw

22、ork local-network global-network mask,tcp,udp,local-port,global-port,傳輸控制協(xié)議,用戶數(shù)據(jù)報協(xié)議,本地TCP/UDP端口號,全局TCP/UDP端口號,local-network,global-network,mask,本地子網(wǎng)轉(zhuǎn)換,全局子網(wǎng)轉(zhuǎn)換,子網(wǎng)轉(zhuǎn)換使用的IP網(wǎng)絡(luò)掩碼,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在接口配置模式下,前提模式：,命令格式：,功能：,指定接口對NAT是流量來源或者目的,ip n

23、at inside | outside,inside,outside,（可選項）表明接口連接到外部網(wǎng)絡(luò),（可選項）表明接口連接到內(nèi)部網(wǎng)絡(luò),ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,例 靜態(tài)NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,（1）配置靜態(tài)NAT映射,（2）配置NAT內(nèi)部接口,（3）配置NAT外部接口,在PC0和PC1上ping 202.96

24、.1.2（路由器Router1的 串行接口1/0）,此時應(yīng)該是通的，路由器Router0 的輸出信息如下 ：,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,查看NAT表,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,動態(tài)NAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗

25、練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義NAT的IP地址池,ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length,name,start-ip,end-ip,netmask netmask,prefix-length prefix-length,地址池名,地址池中起始IP地址,地址池中結(jié)束IP地址,地址池所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼,地址池所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼前綴長度,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換

26、 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定義一個標準訪問控制列表 以允許地址被轉(zhuǎn)換,access-list access-list-number deny | permit source source-wildcard,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,啟用內(nèi)部源地址的NAT,ip nat inside source list access-li

27、st-number | access-list-name interface type number | pool name overload,access-list-number,access-list-name,interface type number,pool name,overload,標準IP訪問列表的編號,標準IP訪問列表的名稱,全局地址的接口類型、編號,全局IP地址動態(tài)分配的地址池的名稱,（可選項）多個本地地址使用一個全局地址,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 N

28、AT配置,例 動態(tài)NAT配置,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,配置動態(tài)NAT轉(zhuǎn)換的地址池。,配置動態(tài)NAT映射。,允許動態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在PC0和PC1上ping 202.96.1.2（路由器 Router1的串行接口1/0）,此時應(yīng)該是通的， 路由器Router0的輸出信息如下：,如果動態(tài)地

29、址池中的沒有足夠的地址進行動 態(tài)映射，則會出現(xiàn)類似下面的信息，提示 NAT轉(zhuǎn)換失敗，并丟棄數(shù)據(jù)包。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,查看NAT轉(zhuǎn)換的統(tǒng)計信息。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,PAT轉(zhuǎn)換,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗

30、練習(xí),5.2 NAT配置,例 配置PAT,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,（1）配置動態(tài)NAT轉(zhuǎn)換的地址池,（2）配置PAT,（3）配置允許動態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在PC0和PC1上ping 202.96.1.2（路由器 Router1的串行接口1/0）,此時應(yīng)該是通的， 路由器Router0的輸出信

31、息如下：,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,以上輸出表明進行PAT轉(zhuǎn)換使用的是同一個IP 地址的不同端口號。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,動態(tài)NAT的過期時間是86400s，PAT的過期 時間是60s，通過show ip nat tranlastions verbose命令可以查看，也可以通過下面的命 令修改超時時間：,如果主機的數(shù)量不

32、是很多，可以直接使用 outside接口地址配置PAT，不必定義地址池， 命令如下： 參數(shù)timeout的范圍是0到2147486。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),ip nat translation timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | pptp-timeout | syn-timeout | port-timeout | arp-ping-timeou

33、t seconds | never,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,改變NAT轉(zhuǎn)換超時時間,timeout,功能：,udp-timeout,dns-timeout,tcp-timeout,finrst-timeout,icmp-timeout,pptp-timeout,syn-timeout,port-timeout,arp-ping-timeout,seconds,never,應(yīng)用于動態(tài)轉(zhuǎn)換的超時值，除復(fù)用轉(zhuǎn)換外，默認為86400秒（24小時）,應(yīng)用于UDP端口的超時值，默認為300秒（5分鐘）。,應(yīng)用于DNS連接的超時值，默認為60秒,應(yīng)用于TCP端口的超時值

34、，默認為86400秒（24小時）,應(yīng)用于結(jié)束（FIN）和復(fù)位（RST）中止連接的TCP包超時值，默認為60秒,ICMP流的超時值，默認為60秒,NAT PPTP流的超時值，默認為86400秒（24小時）。,緊接SYN傳輸消息后TCP流的超時值，默認為60秒。,應(yīng)用于TCP/UDP端口的超時值,端口轉(zhuǎn)換超時的秒數(shù)，默認為0,沒有端口轉(zhuǎn)換超時,應(yīng)用于arp ping的超時值,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在用戶模式或特權(quán)模式下,前提模式：,命令格式：,功能：,顯示活動

35、的NAT轉(zhuǎn)換,show ip nat translations protocol verbose,protocol,verbose,(可選項) 顯示協(xié)議項目，協(xié)議參數(shù)關(guān)鍵字如下： esp：ESP協(xié)議項目。 icmp：ICMP協(xié)議項目。 pptp：PPTP協(xié)議項目。 tcp：TCP協(xié)議項目。 udp：UDP協(xié)議項目。,(可選項) 顯示每個轉(zhuǎn)換表項目的額外信息。,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,例 show ip nat translations命令輸出,協(xié)議,源全局地

36、址,源本地地址,目的本地地址,目的全局地址,ACL配置 NAT配置 NAT概述 內(nèi)部源地址靜態(tài)轉(zhuǎn)換 內(nèi)部源地址動態(tài)轉(zhuǎn)換 內(nèi)部源地址復(fù)用動態(tài)轉(zhuǎn)換 修改轉(zhuǎn)換超時 監(jiān)視與維護NAT 實驗練習(xí),5.2 NAT配置,在特權(quán)模式下,前提模式：,命令格式：,功能：,顯示NAT統(tǒng)計信息,show ip nat translations,例 show ip nat statistics命令輸出,系統(tǒng)活動的轉(zhuǎn)換數(shù),外部接口列表,內(nèi)部接口列表,轉(zhuǎn)換表查詢找到表項的次數(shù),轉(zhuǎn)換表查詢沒有找到表項的次數(shù),過期的轉(zhuǎn)換數(shù),動態(tài)映射信息,內(nèi)部源轉(zhuǎn)換信息,訪問列表編號,地址池的名稱,使用地址池的轉(zhuǎn)換數(shù),地址池IP網(wǎng)絡(luò)掩碼,地址池起始IP地址,地址池終止IP地址,地址池的類型，可能的類型為generic或rotary。,地址池可用的地址數(shù),被使用的地址數(shù)