7-防火墻配置與NAT配置ppt課件

1、1第七講 防火墻配置與NAT配置n防火墻技術(shù)n訪問(wèn)控制列表nAR18防火墻配置nAR28防火墻配置nNAT技術(shù)nAR18 NAT配置nAR28 NAT配置2防火墻技術(shù) 概念n防火墻（Firewall）的本義是一種建筑結(jié)構(gòu)，它用來(lái)防止大火從建筑物的一部分蔓延到另一部分。n在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是指用于完成下述功能的軟件或硬件：q對(duì)單個(gè)主機(jī)或整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)，使之能夠抵抗來(lái)自外部網(wǎng)絡(luò)的不正當(dāng)訪問(wèn)。3防火墻技術(shù) 分類(lèi)n包過(guò)濾防火墻（Packet Filter Firewall）：對(duì)IP包進(jìn)行過(guò)濾，先獲取包頭信息，包括IP 層所承載的上層協(xié)議的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等

2、，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果決定數(shù)據(jù)包是否被允許通過(guò)。n應(yīng)用層報(bào)文過(guò)濾（Application Specific Packet Filter）：也稱為狀態(tài)防火墻，它維護(hù)每一個(gè)連接的狀態(tài)，并且檢查應(yīng)用層協(xié)議的數(shù)據(jù)，以此決定數(shù)據(jù)包是否被允許通過(guò)。4防火墻技術(shù) 示意圖RInternet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處n防火墻一般被放置在內(nèi)部網(wǎng)和Internet之間5防火墻技術(shù) 路由器實(shí)現(xiàn)包過(guò)濾防火墻路由器上的路由器上的IP包包轉(zhuǎn)發(fā)機(jī)制轉(zhuǎn)發(fā)機(jī)制IP PacketIP Packet網(wǎng)絡(luò)層數(shù)據(jù)鏈路層輸入IP包規(guī)則庫(kù)輸出IP包規(guī)則庫(kù)由規(guī)則決定對(duì)IP包的處理: 丟棄或通過(guò)由規(guī)則決定對(duì)IP包的處理

3、: 丟棄或通過(guò)路由器可以在輸入和輸出兩個(gè)方向上對(duì)IP包進(jìn)行過(guò)濾接口1接口26訪問(wèn)控制列表 概念n訪問(wèn)控制列表（Access Control List, ACL）是實(shí)現(xiàn)包過(guò)濾規(guī)則庫(kù)的一般方法，它由一系列“permit”或“deny”的規(guī)則組成。n除安全之外，訪問(wèn)控制列表還有以下兩種應(yīng)用：qQoS（Quality of Service）qNAT（Network Address Translation）7訪問(wèn)控制列表 分類(lèi)（AR18）n標(biāo)準(zhǔn)訪問(wèn)控制列表q只使用源IP地址來(lái)描述IP包q數(shù)字標(biāo)識(shí)：2000 2999n擴(kuò)展訪問(wèn)控制列表q使用源和目的IP地址，協(xié)議號(hào)，源和目的端口號(hào)來(lái)描述IP包q數(shù)字表示：3

4、000 39998訪問(wèn)控制列表 標(biāo)準(zhǔn)ACLnQuidway acl acl-number match-order config | auto qacl-number：2000 2999qconfig：配置順序 /缺省值qauto：深度優(yōu)先nQuidway-acl-2000 rule normal | special permit | deny source source-addr source-wildcard | any qnormal：該規(guī)則在所有時(shí)間段內(nèi)起作用； /缺省值qspecial：該規(guī)則在指定時(shí)間段內(nèi)起作用，使用special 時(shí)用戶需另外設(shè)定時(shí)間段qsource-wildcar

5、d：反掩碼9訪問(wèn)控制列表 反掩碼例如：Quidway-acl-2000 rule normal permit source 55n反掩碼和子網(wǎng)掩碼功能相似，但寫(xiě)法不同：q0表示需要比較q1表示忽略比較n反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位10訪問(wèn)控制列表 擴(kuò)展ACLn配置TCP/UDP協(xié)議的擴(kuò)展ACLn配置ICMP協(xié)議的擴(kuò)展ACLn配置其他協(xié)議的擴(kuò)展ACL11訪問(wèn)控制列表 擴(kuò)展ACL（續(xù)）n配置TCP/UDP協(xié)議的擴(kuò)展ACL： rule normal | spe

6、cial permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest-wildcard | any destination-port operator port1 port2 Operator的語(yǔ)法的語(yǔ)法意義意義equal portnumber等于端口號(hào)等于端口號(hào) portnumbergreater-than portnumber大于端口號(hào)大于端口號(hào)portnumberless-than portnumbe

7、r小于端口號(hào)小于端口號(hào)portnumbernot-equal portnumber不等于端口號(hào)不等于端口號(hào)portnumber range portnumber1 portnumber2介于端口號(hào)介于端口號(hào)portnumber1 和和portnumber2之間之間12訪問(wèn)控制列表 擴(kuò)展ACL（續(xù)）n配置TCP/UDP協(xié)議的擴(kuò)展ACL舉例： rule normal deny tcp source destination 6 destination-port equal 80 n配置ICMP協(xié)議的擴(kuò)展ACL ： rul

8、e normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code 注：缺省為全部ICMP消息類(lèi)型n配置ICMP協(xié)議的擴(kuò)展ACL舉例 ： rule normal deny icmp source any destination 55 icmp-type echo 13訪問(wèn)控制列表 擴(kuò)展ACL（續(xù)）nICMP協(xié)議消息類(lèi)型的助

9、記符 ：echoecho-replyhost-unreachablenet-redirectnet-unreachableparameter-problemport-unreachableprotocol-unreachablettl-exceededType=8, Code=0Type=0, Code=0Type=3, Code=1Type=5, Code=0Type=3, Code=0Type=12,Code=0Type=3, Code=3Type=3, Code=2Type=11,Code=014訪問(wèn)控制列表 擴(kuò)展ACL（續(xù)）n配置其它協(xié)議的擴(kuò)展ACL ： rule normal | s

10、pecial permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest-wildcard | any n配置其它協(xié)議的擴(kuò)展ACL 舉例： rule normal permit ip source 55 destination any15訪問(wèn)控制列表 分類(lèi)（AR28）n基于接口的訪問(wèn)控制列表（Interface-based ACL）q使用接口來(lái)控制網(wǎng)絡(luò)包q數(shù)字標(biāo)識(shí)：1000 1999n基本的訪問(wèn)控制列表（Ba

11、sic ACL）q只使用源IP地址來(lái)控制IP包q數(shù)字標(biāo)識(shí)：2000 2999n高級(jí)的訪問(wèn)控制列表（Advanced ACL）q使用源和目的IP地址，協(xié)議號(hào)，源和目的端口號(hào)來(lái)控制IP包q數(shù)字表示：3000 3999n基于MAC 的訪問(wèn)控制列表（MAC-based ACL）q使用MAC地址來(lái)控制網(wǎng)絡(luò)包q數(shù)字表示：4000 499916訪問(wèn)控制列表 創(chuàng)建ACL（AR28）nQuidway acl number acl-number match-order config | auto qconfig：匹配規(guī)則時(shí)按用戶的配置順序。 /缺省值qauto：匹配規(guī)則時(shí)按“深度優(yōu)先”的順序。n創(chuàng)建ACL后，將進(jìn)

12、入ACL視圖：qQuidway-acl-adv-3000q進(jìn)入ACL 視圖之后，就可以配置ACL的規(guī)則了。17訪問(wèn)控制列表 Basic ACLnQuidway-acl-basic-2000 rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name qrule-id：可選參數(shù)，規(guī)則編號(hào)，范圍為065534。q少了 normal | special qtime-range：可選參數(shù)，指定訪問(wèn)控制列表的生效時(shí)間。q其余與AR18同n舉例： Quidway-acl-basic-2000 ru

13、le permit source 18訪問(wèn)控制列表 Advanced ACLnQuidway-acl-adv-3000 rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message | icmp-type icmp

14、-code time-range time-name n格式與AR18中的三種擴(kuò)展ACL基本相同：qprotocol : ip, ospf, igmp, gre, icmp, tcp, udp, etc. q少了 normal | special q多了 rule-id 和 time-rangeqoperator 被簡(jiǎn)化: “eq” -等于端口號(hào)， “gt” 大于端口號(hào)， “l(fā)t” 小于端口號(hào)， “neq” 不等于端口號(hào)， “range” 介于兩端口號(hào)之間19AR18防火墻配置 啟動(dòng)/禁止n啟動(dòng)防火墻qQuidway firewall enablen禁止防火墻qQuidway firewall

15、 disablen缺省情況下，防火墻處于“啟動(dòng)”狀態(tài)20AR18防火墻配置 缺省過(guò)濾方式n缺省過(guò)濾方式：當(dāng)訪問(wèn)規(guī)則中沒(méi)有找到一條匹配的規(guī)則來(lái)判定網(wǎng)絡(luò)包是否可以通過(guò)的時(shí)候，將根據(jù)缺省過(guò)濾方式來(lái)決定“允許”還是“禁止”網(wǎng)絡(luò)包通過(guò)。n設(shè)置缺省過(guò)濾方式為“允許”：qQuidway firewall default permitn設(shè)置缺省過(guò)濾方式為“禁止”：qQuidway firewall default denyn缺省情況下，缺省過(guò)濾方式為“允許”21AR18防火墻配置 在接口上應(yīng)用ACLn要實(shí)現(xiàn)接口對(duì)報(bào)文的過(guò)濾功能，就必須先將相應(yīng)ACL應(yīng)用到接口上n用戶可在一個(gè)接口上對(duì)“入”和“出”兩個(gè)方向的報(bào)文

16、分別定義不同的ACLn在接口上應(yīng)用ACL的命令為：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一個(gè)接口的一個(gè)方向上，可以配置多個(gè)ACL，匹配時(shí)從acl-number 大的ACL開(kāi)始，若匹配則停止22AR18防火墻配置 顯示配置信息n顯示ACL及在接口上的應(yīng)用 任意視圖 display acl all | acl-number n顯示防火墻狀態(tài) 任意視圖 display firewall23AR18防火墻配置 舉例n只有外部特定PC可以訪問(wèn)內(nèi)部服務(wù)器

17、n只有內(nèi)部特定PC可以訪問(wèn)外部網(wǎng)絡(luò)防火墻配置要求：Ethernet0Serial024AR18防火墻配置 舉例（續(xù)）# 打開(kāi)防火墻功能。Router firewall enable# 設(shè)置防火墻缺省過(guò)濾方式為允許包通過(guò)。Router firewall default permit# 配置Ethernet0入方向訪問(wèn)規(guī)則禁止所有包通過(guò)。Router acl 3001 match-order autoRouter-acl-3001 rule deny ip source any destination any# 允許內(nèi)部特定PC訪問(wèn)外部網(wǎng)，允許內(nèi)部服務(wù)器與外部特定PC通訊。Ro

18、uter-acl-3001 rule permit ip source 0 destination anyRouter-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 0 destination 025AR18防火墻配置

19、 舉例（續(xù)）# 配置Serial0入方向訪問(wèn)規(guī)則禁止所有包通過(guò)。 Router acl 3002 match-order autoRouter-acl-3002 rule deny ip source any destination any# 允許外部網(wǎng)與內(nèi)部特定PC通訊。Router-acl-3002 rule permit ip source any destination 0# 允許外部特定PC訪問(wèn)內(nèi)部服務(wù)器。Router-acl-3002 rule permit ip source 0 destination 0Rout

20、er-acl-3002 rule permit ip source 0 destination 0Router-acl-3002 rule permit ip source 0 destination 0# 將規(guī)則3001 作用于從接口Ethernet0 進(jìn)入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 將規(guī)則3002 作用于從接口Serial0 進(jìn)入的包。Router-Serial0 firewall packet-filter 3002

21、 inbound26AR28防火墻配置 啟動(dòng)/禁止n啟動(dòng)防火墻qQuidway firewall enablen禁止防火墻qQuidway undo firewall enablen缺省情況下，防火墻處于“禁止”狀態(tài)與AR18不同27AR28防火墻配置 缺省過(guò)濾方式n缺省過(guò)濾方式：當(dāng)訪問(wèn)規(guī)則中沒(méi)有找到一條匹配的規(guī)則來(lái)判定網(wǎng)絡(luò)包是否可以通過(guò)的時(shí)候，將根據(jù)缺省過(guò)濾方式來(lái)決定“允許”還是“禁止”網(wǎng)絡(luò)包通過(guò)。n設(shè)置缺省過(guò)濾方式為“允許”：qQuidway firewall default permitn設(shè)置缺省過(guò)濾方式為“禁止”：qQuidway firewall default denyn缺省情況下

22、，缺省過(guò)濾方式為“允許”與AR18相同28AR28防火墻配置 在接口上應(yīng)用ACLn在接口上應(yīng)用ACL的命令為：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一個(gè)接口的一個(gè)方向上，可以配置多個(gè)ACL，匹配時(shí)從acl-number 大的ACL開(kāi)始與AR18相同29AR28防火墻配置 顯示配置信息n顯示ACL及在接口上的應(yīng)用 任意視圖 display acl all | acl-number n顯示防火墻狀態(tài) 任意視圖 display firewall-s

23、tatistics all | interface type number 與AR18不同30AR28防火墻配置 舉例防火墻配置要求：n只有外部特定PC可以訪問(wèn)內(nèi)部服務(wù)器n只有內(nèi)部特定PC可以訪問(wèn)外部網(wǎng)絡(luò)Ethernet0Serial031AR28防火墻配置 舉例（續(xù)）# 打開(kāi)防火墻功能。Router firewall enable# 設(shè)置防火墻缺省過(guò)濾方式為允許包通過(guò)。Router firewall default permit# 配置Ethernet0入方向訪問(wèn)規(guī)則禁止所有包通過(guò)。Router acl number 3001 match-order autoRouter

24、-acl-adv-3001 rule deny ip source any destination any# 允許內(nèi)部特定PC訪問(wèn)外部網(wǎng)，允許內(nèi)部服務(wù)器與外部特定PC通訊。Router-acl-adv-3001 rule permit ip source 0 destination anyRouter-acl-adv-3001 rule permit ip source 0 destination 0Router-acl-adv-3001 rule permit ip source 0 destinatio

25、n 0Router-acl-adv-3001 rule permit ip source 0 destination 032AR28防火墻配置 舉例（續(xù)）# 配置Serial0入方向訪問(wèn)規(guī)則禁止所有包通過(guò)。 Router acl number 3002 match-order autoRouter-acl-adv-3002 rule deny ip source any destination any# 允許外部網(wǎng)與內(nèi)部特定PC通訊。Router-acl-adv-3002 rule permit ip source any de

26、stination 0# 允許外部特定PC訪問(wèn)內(nèi)部服務(wù)器。Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source 0 destination 0# 將規(guī)則3001 作用于從接口Etherne

27、t0 進(jìn)入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 將規(guī)則3002 作用于從接口Serial0 進(jìn)入的包。Router-Serial0 firewall packet-filter 3002 inbound33NAT技術(shù) 概述nNAT (Network Address Translation)是目前用于解決IP地址緊缺問(wèn)題的主要技術(shù)。nNAT的標(biāo)準(zhǔn)文檔是RFC 2663，1999年和RFC 3022，2001年（obsolete RFC 1631，1994年）.nNAT是在路由器上實(shí)現(xiàn)的，它的主要操作是在私網(wǎng)IP地址和公網(wǎng)

28、IP地址之間作相互轉(zhuǎn)換。n通過(guò)這種轉(zhuǎn)換，一個(gè)網(wǎng)絡(luò)能夠在其內(nèi)部使用私網(wǎng)IP地址，而在外部使用一個(gè)或少數(shù)幾個(gè)公網(wǎng)IP地址連接到Internet上。34NAT技術(shù) 私網(wǎng)IP地址Internet/8/16/24PrivateNetwork 1私網(wǎng)私網(wǎng)IP地址范圍：地址范圍： - 55 - 55 - 55PrivateNetwork 2PrivateNetwork 335NAT技術(shù) 基本思想n每個(gè)NAT路由器都維護(hù)

29、一張地址轉(zhuǎn)換表。地址轉(zhuǎn)換表36NAT技術(shù) 基本思想（NAPT）nNAT的最常見(jiàn)形式 - NAPT (Network Address Port Translation):地址轉(zhuǎn)換表37NAT技術(shù) 基本思想（內(nèi)部服務(wù)器）InternetR內(nèi)部服務(wù)器外部用戶E0S0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:端口:8080外部用戶訪問(wèn)內(nèi)部服務(wù)器38NAT 私網(wǎng)訪問(wèn)公網(wǎng)具體步驟Internet內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池202.0.

30、0.1 私網(wǎng)地址私網(wǎng)端口公網(wǎng)地址公網(wǎng)端口10011044dstIP:, srcIP:dstPort:21, srcPort:1001dstIP:, srcIP:dstPort:21, srcPort:1044dstIP:, srcIP:dstPort:1001, srcPort:21查找地址轉(zhuǎn)換表，更改目的IP和端口增加地址轉(zhuǎn)換表項(xiàng)，更改源IP和端口12345dstIP:, srcIP:dstPort:1

31、044, srcPort:216外部PC內(nèi)部PC39NAT 公網(wǎng)訪問(wèn)內(nèi)部服務(wù)器具體步驟私網(wǎng)地址私網(wǎng)端口公網(wǎng)地址公網(wǎng)端口2121Internet內(nèi)部網(wǎng)絡(luò)/8NAT路由器需預(yù)先配置如下靜態(tài)地址轉(zhuǎn)換表項(xiàng)公用地址池 dstIP:, srcIP:dstPort:21, srcPort:1044dstIP:, srcIP:dstPort:1044, srcPort:21查找地址轉(zhuǎn)換表，更改源IP和端口查

32、找地址轉(zhuǎn)換表，更改目的IP和端口12345FTP客戶FTP服務(wù)器6dstIP:, srcIP:dstPort:21, srcPort:104dstIP:, srcIP:dstPort:1044, srcPort:2140NAT 技術(shù) 其它用途 n使易于更換ISPnIP偽裝 (IP Masquerading)n服務(wù)器前端 (Front End)，在多個(gè)服務(wù)器之間分配負(fù)載41NAT技術(shù) 服務(wù)器前端 地址轉(zhuǎn)換表42NAT技術(shù) 批評(píng)n開(kāi)銷(xiāo)增加qNAT: 重新計(jì)算IP Header Checksum

33、qNAPT: 重新計(jì)算TCP/UDP Header Checksumn違反了協(xié)議分層的原則。n使在應(yīng)用層的數(shù)據(jù)中攜帶有IP地址或端口號(hào)的協(xié)議不能正常運(yùn)行。欲知有關(guān)NAT各方面影響的詳細(xì)討論，請(qǐng)參見(jiàn)RFC 2993.43NAT配置（AR18） 定義地址池n地址池是一串連續(xù)IP 地址的集合，當(dāng)內(nèi)部IP包通過(guò)地址轉(zhuǎn)換到達(dá)外部網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址n定義地址池命令：qQuidway nat address-group start-addr end-addr pool-namen舉例：qQuidway nat address-group 210.3

34、0.101.4 pool144NAT配置（AR18） 定義地址池與ACL的關(guān)聯(lián)nACL在NAT中的作用是 “描述將被做地址轉(zhuǎn)換的IP包” 。 n當(dāng)內(nèi)部網(wǎng)絡(luò)有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)該ACL判定是否是允許的數(shù)據(jù)包，然后再根據(jù)定義的關(guān)聯(lián)找到與之對(duì)應(yīng)的地址池，最后再把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址。n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-no address-group pool-namen舉例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 192

35、.168.1.0 55qQuidway-acl-2000 rule deny source anyqQuidway nat address-group pool1qQuidway-Serial0 nat outbound 2000 address-group pool145NAT配置（AR18） 定義接口與ACL的關(guān)聯(lián)n接口與ACL的關(guān)聯(lián)又稱EASY IP 特性，它是指在地址轉(zhuǎn)換的過(guò)程中直接使用接口的IP 地址作為轉(zhuǎn)換后的源地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-no interf

36、acen舉例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 55qQuidway-acl-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000 interface46NAT配置（AR18） 建立內(nèi)部服務(wù)器映射n用戶可將內(nèi)部服務(wù)器的IP地址和端口號(hào)映射到NAT路由器的外部地址以及端口號(hào)上，從而實(shí)現(xiàn)由外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部服務(wù)器的功能。n建立映射命令：qQuidway-Serial0 nat server

37、global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www protocol-number | ip | icmp | tcp | udp n舉例：qQuidway-Serial0 nat server global 2 8080 tcp47NAT配置（AR18） 配置信息顯示n查看地址

38、轉(zhuǎn)換的配置信息：q任意視圖 display natn查看地址轉(zhuǎn)換表：q任意視圖 display nat translations global ip-address | inside ip-address 48NAT配置（AR18） 舉例RRRInternetFTP 服務(wù)器WWW 服務(wù)器1WWW 服務(wù)器2內(nèi)部PC00S0內(nèi)部PC00RSMTP 服務(wù)器地址池：0103網(wǎng)絡(luò)地址轉(zhuǎn)換配置要求：n內(nèi)部/

39、24 網(wǎng)段的PC 機(jī)可訪問(wèn)Internet，其它網(wǎng)段的PC 機(jī)不能訪問(wèn)Internet。n外部PC 機(jī)可以訪問(wèn)內(nèi)部的服務(wù)器。49NAT配置（AR18） 舉例（續(xù)）# 配置地址池和ACLRouter nat address-group 01 03 pool1Router acl 2000 match-order autoRouter-acl-2000rule permit source 55Router-acl-2000rule deny source 55# 允許10.

40、110.10.0/24 的網(wǎng)段進(jìn)行地址轉(zhuǎn)換Router-Serial0 nat outbound 2000 address-group pool1# 設(shè)置內(nèi)部FTP 服務(wù)器Router-Serial0 nat server global 01 # 設(shè)置內(nèi)部WWW服務(wù)器1Router-Serial0 nat server global 02 # 設(shè)置內(nèi)部WWW服務(wù)器2Router-Serial0 nat server global 02 8080 inside 10.110.1

41、0.3 # 設(shè)置內(nèi)部SMTP 服務(wù)器Router-Serial0 nat server global 03 smtp inside smtp tcp50NAT配置（AR28） 定義地址池n地址池是一些連續(xù)的IP 地址的集合，當(dāng)內(nèi)部IP包通過(guò)地址轉(zhuǎn)換到達(dá)外部網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址n定義地址池命令：qQuidway nat address-group group-number start-addr end-addrn舉例：qQuidway nat address-group 1 210.30.1

42、01.4 與AR18不同51NAT配置（AR28） 定義地址池與ACL的關(guān)聯(lián)n當(dāng)內(nèi)部網(wǎng)絡(luò)有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)該ACL判定是否是允許的數(shù)據(jù)包，然后再根據(jù)定義的關(guān)聯(lián)找到與之對(duì)應(yīng)的地址池，最后再把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-number address-group group-numbern舉例：qQuidway acl 2000 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQu

43、idway-acl-basic-2000 rule deny source anyqQuidway nat address-group 1 qQuidway-Serial0 nat outbound 2000 address-group 1與AR18不同52NAT配置（AR28） 定義接口與ACL的關(guān)聯(lián)n接口與ACL的關(guān)聯(lián)又稱EASY IP 特性，它是指在地址轉(zhuǎn)換的過(guò)程中直接使用接口的IP 地址作為轉(zhuǎn)換后的源地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-numbern舉例：qQuidway acl 20

44、00 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQuidway-acl-basic-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000與AR18不同,省略”interface”53NAT配置（AR28） 建立內(nèi)部服務(wù)器映射n用戶可將內(nèi)部服務(wù)器的IP地址和端口號(hào)映射到NAT路由器的外部地址以及端口號(hào)上，從而實(shí)現(xiàn)由外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部服務(wù)器的功能。n建立映射命令：qQuidway-Serial0 nat server

45、 protocol protocol-number | ip | icmp | tcp | udp global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www n舉例：qQuidway-Serial0 nat server tcp global 2 8080與AR18不同,位置改變54NAT配置（AR28） 配置信息顯示n查看地址轉(zhuǎn)換的配置信息：q任意視圖 display nat address-gr