PorttoApplicationMappingPAM概述常用的協(xié)議HTTP對(duì)應(yīng)TCP

1、port to application mapping (pam)概述常用的協(xié)議http對(duì)應(yīng)tcp端口號(hào)80，常用的協(xié)議telnet對(duì)應(yīng)tcp端口號(hào)23,這些端口號(hào)，cisco設(shè)備也是遵守默認(rèn)的端口號(hào)規(guī)則，而 這些協(xié)議對(duì)應(yīng)的端口號(hào)，是任何時(shí)候都是可以隨意改動(dòng)的。在正常情況下， 看到tcp 80,就會(huì)把它當(dāng)成http來處理，看到tcp 23,就會(huì)當(dāng)成telnet來 處理。當(dāng)設(shè)備上開啟了 cbac后，cbac是根據(jù)相應(yīng)的協(xié)議來做好會(huì)話記 錄，從而在acl為其返回的流量打開缺口的。比如己經(jīng)配置cbac檢 測(cè)http協(xié)議，也就是說當(dāng)設(shè)備檢測(cè)到有tcp 80的數(shù)據(jù)通過時(shí)，就會(huì)記錄下 會(huì)話，并且為其打開缺

2、口，而檢測(cè)tcp其它端口號(hào)，是不會(huì)這么做的。但是, 在某些特殊時(shí)候，如果你發(fā)起的http會(huì)話，端口號(hào)己經(jīng)被改變，如己經(jīng)改 成1000,那么這個(gè)時(shí)候你發(fā)起的http會(huì)話就是tcp1000,對(duì)于tcp 1000這 樣的數(shù)據(jù)，在已配置好的cbac屮，是不會(huì)為其記錄并打開缺口的，如果要 讓cbac也知道你現(xiàn)在所使用的http已經(jīng)不再是標(biāo)準(zhǔn)的端口號(hào)了，但還希 望cbac為你服務(wù)，那么就必須手動(dòng)告訴設(shè)備你己經(jīng)將http改為了 tcp 1000 o這個(gè)功能就是靠pam來實(shí)現(xiàn)的。原本的cbac只支持協(xié)議的標(biāo)準(zhǔn)端口，但是要讓cbac支持非常規(guī)端 口協(xié)議，就需要pam來完成這個(gè)工作。要讓設(shè)備知道相應(yīng)協(xié)議是用哪些端

3、口號(hào)，可以配置協(xié)議和對(duì)應(yīng)的端 口號(hào)，如果沒有人為配置，系統(tǒng)中也同樣會(huì)存在這樣的對(duì)應(yīng)表。表里面提供 三種信息，分別為：系統(tǒng)定義的映射用戶定義的映射主機(jī)映射其中系統(tǒng)定義的就是標(biāo)準(zhǔn)的協(xié)議端口號(hào)，是不能更改的；而用戶定義的可以隨意更改和刪除，如果同時(shí)存在系統(tǒng)定義的和用戶定 義的，那么會(huì)優(yōu)先使用用戶定義的。主機(jī)映射就是可以使用重復(fù)端口，即是基于每臺(tái)主機(jī)的，比如定義某臺(tái)主機(jī)http使用tcp 1000,而定義另夕i、一臺(tái)主機(jī)ftp使用tcp 1000o也可以為某個(gè)協(xié)議定義一個(gè)范圍的端口號(hào)，通過多次輸入命令實(shí)現(xiàn)。fo/o121 12f0/說明：在r3上配置nat,讓telnet到13.1.

4、1.100的結(jié)果被轉(zhuǎn)到 telnet 1 在r3上配置nat說明：配置讓telnet到00,目標(biāo)端口為1000的，結(jié)果被轉(zhuǎn)到 telnet 定義nat方向r3(config)#int f0 力r3(config-if)#ip nat insider3(config)#int fo/1r3(config-if)#ip nat outside(2)配置映射r3(config)#ip nat inside source static tcp 23 00 1000 說明：當(dāng) telnet 00 1000

5、時(shí)，結(jié)果為 telnet 到 2. 測(cè)試telnet結(jié)果(1)測(cè)試從 r2 telnet 00,目標(biāo)端口為 woor2# telnet 00 1000trying 00,1000 . open r4>說明：從結(jié)果中看出,當(dāng)r2 telnet 00,目標(biāo)端口為1000時(shí),結(jié) 果為結(jié)果為telnet 到 34.1丄4。3. 配置cbac說明：在r1上配置cbac,拒絕從f0/1進(jìn)來的所有數(shù)據(jù)，但是記錄r2發(fā)起的telnet數(shù)據(jù)，并允許其返回(1) 配置acl拒絕所有數(shù)據(jù)進(jìn)入rl(config)#access-li

6、st 100 deny ip any anyrl(config-if)#ip access-group 100 in(2) 配置cbac允許telnet返回rl(config)#ip inspect name ccie telnet timeout 100rl(config)#int fo/1rl(config-if)#ip inspect ccie out4. 測(cè)試cbac結(jié)果(1)測(cè)試r2 telnet 00,目標(biāo)端口為1000時(shí),cbac是否能為其記錄會(huì)話并打開缺口r2# telnet 00 1000trying 00,1000.% con

7、nection timed out; remote host not respondingr2#說明：從結(jié)果屮看出，cbac并不會(huì)為端口號(hào)為1000的數(shù)據(jù)創(chuàng)建返回缺口，因?yàn)橐雅渲玫腸bac只記錄telnet,也就是標(biāo)準(zhǔn)tcp 23端口，而現(xiàn)在是tcp 1000端口，所以并不被關(guān)心。5. 配置pam說明：已配置的cbac只記錄telnet,也就是tcp為23端口的數(shù)據(jù)包，而 現(xiàn)在的telnet為tcp端口號(hào)1000,所以并沒有被記錄，因此配置pam, 改變?cè)O(shè)備的默認(rèn)telnet端口，應(yīng)改為1000,從而讓cbac根據(jù)此端口映 射表作記錄。(1)配置telnet端口號(hào)為1000rl(config)

8、#ip port-map telnet port tcp 10006. 測(cè)試cbac支持pam非常規(guī)端口(1) 再次測(cè)試r2 telnet 00,目標(biāo)端口為1000時(shí)，cbac是否打開 缺口r2#tel net 00 1000trying 00,1000 . openr4>說明：可以看出，cbac已經(jīng)認(rèn)為telnet為tcp端口號(hào)1000,并成功為 其打開缺口。(2) 查看cbac中的會(huì)話rl#sh ip inspect sessionsestablished sessionssession 66c93de4 (:17502

9、)=>(00:1000) telnet sis_openrl#說明：看到cbac中成功理解telnet為端口號(hào)1000。7 .定義范圍端口給協(xié)議(1)定義端口號(hào)8001到8004都給httprl(config)#ip port-map http port 8001rl(config)#ip port-map http port 8002rl(config)#ip port-map http port 8003rl(config)#ip port-map http port 80048 定義到主機(jī)映射說明：可以讓同一個(gè)端口被不同主機(jī)使用(1) 定義主機(jī)的http使用端口號(hào)8000rl(config)#access-list 10 permit rl(config)#ip p