訪問控制列表和地址轉(zhuǎn)換原理

1、ISSUE 1.0Internall學(xué)習(xí)完本課程，您應(yīng)該能夠：理解訪問控制列表的基本原理理解地址轉(zhuǎn)換的基本原理Page 1l對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。Page 2RInternet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處l訪問控制列表可以用于防火墻；l訪問控制列表可以用于Qos（Quality of Service），對數(shù)據(jù)流量進(jìn)行控制；l在DCC中，訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件；l訪問控制列表還可以用于地址轉(zhuǎn)換；l在配置路由策略時，可以利用訪問控制列表來作路由信息的過濾。

2、Page 3l一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP/UDP）：Page 4IP報頭報頭TCP/UDP報頭報頭數(shù)據(jù)數(shù)據(jù)協(xié)議號協(xié)議號源地址源地址目的地址目的地址源端口源端口目的端口目的端口對于TCP/UDP來說，這5個元素組成了一個TCP/UDP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則l利用數(shù)字標(biāo)識訪問控制列表l利用數(shù)字范圍標(biāo)識訪問控制列表的種類Page 5列表的種類列表的種類數(shù)字標(biāo)識的范圍數(shù)字標(biāo)識的范圍IP standard list2000-2999IP extended list3000-3999l標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。Page

3、6從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器l配置標(biāo)準(zhǔn)訪問列表的命令格式如下：acl acl-number match-order auto | config rule normal | special permit | deny source source-addr source-wildcard | any Page 7怎樣利用 IP 地址 和 反掩碼wildcard-mask 來表示一個網(wǎng)段?000255只比較前24位003255只比較前22位0255255255只比較前8位Page 8l反掩碼和子網(wǎng)掩碼相似，但寫法不同

4、：0表示需要比較1表示忽略比較l反掩碼和IP地址結(jié)合使用，可以描述一個地址范圍。l擴(kuò)展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。Page 9從/24來的,到0的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器l配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination de

5、st-addr dest- wildcard | any destination-port operator port1 port2 loggingl配置ICMP協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl配置其它協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | d

6、eny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any loggingPage 10操作符及語法操作符及語法意義意義equal portnumber等于端口號 portnumbergreater-than portnumber大于端口號portnumberless-than portnumber小于端口號portnumbernot-equal portnumber不等于端口號portnumber rangeportnumber1

7、portnumber2介于端口號portnumber1 和portnumber2之間Page 11lrule deny icmp source 55 destination any icmp-type host-redirectrule deny icmp source 55 destination any icmp-type host-redirectPage 12lrule deny tcp source 55 destination 55

8、destination-port equal www logging問題: 下面這條訪問控制列表表示什么意思?rule deny udp source 55 destination 55 destination-port greater-than 128/16ICMP主機(jī)重定向報文/16TCP報文/24WWW 端口l防火墻配置常見步驟：啟用防火墻定義訪問控制列表將訪問控制列表應(yīng)用到接口上Page 13Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上

9、l打開或者關(guān)閉防火墻firewall enable | disable l設(shè)置防火墻的缺省過濾模式firewall default permit|deny l顯示防火墻的狀態(tài)信息display firewallPage 14l將訪問控制列表應(yīng)用到接口上l指明在接口上是OUT還是IN方向l在接口視圖下配置：firewall packet-filter acl-number inbound | outboundPage 15Ethernet0訪問控制列表3001作用在Ethernet0接口在out方向有效Serial0訪問控制列表2001作用在Serial0接口上在in方向上有效l“特殊時間段內(nèi)應(yīng)

10、用特殊的規(guī)則”Page 16上班時間（上午8：00 下午5：00）只能訪問特定的站點；其余時間可以訪問其他站點Internetl一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則，有兩種匹配順序：auto和config。l規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較rule deny 55 rule permit 55 兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段 （）上的主機(jī)但允許其中的一小部分主 機(jī)（

11、）的訪問。l規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。Page 17l學(xué)習(xí)完本課程，您應(yīng)該能夠：理解訪問控制列表的基本原理理解地址轉(zhuǎn)換的基本原理Page 18l按照目前Internet網(wǎng)絡(luò)迅猛發(fā)展的速度，到2010年IPv4的地址將消耗殆盡。l目前IPv6(IPng)的推廣和部署受到一定的阻力，無法在短時間內(nèi)完成網(wǎng)絡(luò)從IPv4到IPv6的過渡。l目前解決IP地址短缺的有效方法：NAT和CIDRPage 19學(xué)習(xí)完本課程，您應(yīng)該能夠：掌握NAT的基本概念掌握NAT的基本工作原理Page 20Page 21第二章第二章 NAT基本工作原理基本工作原理NAT(Network A

12、ddress Translator)NAT(Network Address Translator)l網(wǎng)絡(luò)地址轉(zhuǎn)換，即改變IP報文中的源或目的地址的一種處理方式；l使一個局域網(wǎng)中的多臺主機(jī)使用少數(shù)的合法地址訪問外部資源，也可以按照要求設(shè)定內(nèi)部的WWW、FTP、TELNET的服務(wù)提供給外部網(wǎng)絡(luò)使用；l有效的隱藏了內(nèi)部局域網(wǎng)的主機(jī)IP地址，起到了安全保護(hù)的作用。Page 22共有地址和私有地址共有地址和私有地址l私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址： -

13、 55 - 55 - 55 Page 23l地址池地址池 地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個地址集合為地址池。在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換達(dá)到外部網(wǎng)絡(luò)時，將會選擇地址池中的某個地址作為轉(zhuǎn)換后的源地址，這樣可以有效利用用戶的外部地址，提高內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。Page 24l訪問控制列表訪問控制列表 訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報頭以及它承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者

14、是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉(zhuǎn)換按照這樣的規(guī)則判定哪些包是被允許轉(zhuǎn)換或者是禁止轉(zhuǎn)換，這樣可以禁止一些內(nèi)部的主機(jī)訪問外部網(wǎng)絡(luò)，提高一些網(wǎng)絡(luò)的安全性問題。有關(guān)的詳細(xì)概念可以參考防火墻中的有關(guān)內(nèi)容。Page 25l轉(zhuǎn)換關(guān)聯(lián)轉(zhuǎn)換關(guān)聯(lián) 轉(zhuǎn)換關(guān)聯(lián)就是將一個地址池和一個訪問列表關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了“具有某些特征的IP報文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個地址池中的地址。在地址轉(zhuǎn)換時，是根據(jù)這樣的對應(yīng)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換的關(guān)聯(lián)找到于之相對應(yīng)的地址池，我們就可以把源地址

15、轉(zhuǎn)換成這個地址池中的某一個地址，完成地址轉(zhuǎn)換。 Page 26Page 27第一章第一章 NAT基本概念基本概念lNATNAT在系統(tǒng)中的位置在系統(tǒng)中的位置 IPTCP/UDPLink LayerNATPage 28NATNAT基本工作原理（以出口基本工作原理（以出口NATNAT為例）為例）l 在在IPIP層的出口處調(diào)用層的出口處調(diào)用NATNAT是否是LIST中允許的地址？建立新的HASH表項，記錄有關(guān)轉(zhuǎn)換信息,轉(zhuǎn)換地址以及端口Yes是否是內(nèi)部服務(wù)器的數(shù)據(jù)報由NATSERVER命令形成的關(guān)聯(lián)表No轉(zhuǎn)換源地址、源端口YesHASH表NoIP層Page 29l在在IPIP層的入口出調(diào)用層的入口出調(diào)用

16、NATNAT是否是到內(nèi)部服務(wù)器的數(shù)據(jù)報？轉(zhuǎn)換目的地址和端口Yes由NATSERVER命令形成的關(guān)聯(lián)表是否是HASH表中的地址NoHASH表還原數(shù)據(jù)目的地址以及端口YesIP層NoPage 30透明的地址分配透明的地址分配l靜態(tài)的地址分配指一個特定的主機(jī)使用固定的地址訪問外部的網(wǎng)絡(luò)。l動態(tài)的地址分配是指NAT在一些地址中挑選一個地址，做為內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的IP地址。無論是那種，地址的分配應(yīng)該對用戶來說是透明的。Page 31NATNAT的基本工作方式：的基本工作方式：lNAT一對一的地址轉(zhuǎn)換lPAT多對一的地址轉(zhuǎn)換lNPAT多對多的地址轉(zhuǎn)換Page 32lNATNAT方式方式Page

17、33NATNAT方式方式l在出方向上轉(zhuǎn)換IP報文頭中的源IP地址，而不對端口進(jìn)行轉(zhuǎn)換。l在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立一對一映射，實現(xiàn)比較簡單l只轉(zhuǎn)換IP報文頭中的IP地址，所以適用于所有IP報文轉(zhuǎn)換Page 34PATPAT方式方式( 0: 1001 - 6: ( 0: 1001 - 6: 23) - 23) - (00:12964 - 6: 23) (00:12964 - 6: 23) (6: 23 - (200

18、.0.0.66: 23 - 00:12964) - 00:12964) - (6: 23 - 0: (6: 23 - 0: 1001) 1001) Page 35PATPAT方式方式lPAT（Port Address Translation）方式的地址轉(zhuǎn)換利用了TCP/UDP協(xié)議的端口號，進(jìn)行地址轉(zhuǎn)換。lPAT方式的地址轉(zhuǎn)換是采用了“地址端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個IP地址訪問Internet。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立多對一映射。l不同

19、的內(nèi)部網(wǎng)地址，轉(zhuǎn)換時采用相同的公網(wǎng)地址，并依靠不同的端口號來區(qū)分每一個內(nèi)部網(wǎng)主機(jī)。Page 36NPATNPAT方式方式( 0: 1001 - 6: 23)( 0: 1001 - 6: 23) - - (00:12964 - 6: 23) (00:12964 - 6: 23) (6: 23 - 00:12964)(6: 23 - 00:12964) -

20、- (6: 23 - 0: 1001) (6: 23 - 0: 1001) Page 37NPATNPAT方式方式lNPAT（Nat & Port Address Translation）方式的地址轉(zhuǎn)換也是利用了TCP/UDP協(xié)議的端口號，進(jìn)行地址轉(zhuǎn)換。l私網(wǎng)地址和公網(wǎng)地址之間建立了多對多的映射關(guān)系。lNPAT方式也是采用“地址端口”的映射關(guān)系，因此可以使內(nèi)部局域網(wǎng)的多個主機(jī)共享多個IP地址訪問Internet。Page 38l利用利用ACLACL控制地址轉(zhuǎn)換控制地址轉(zhuǎn)換Page 39不能訪問Internet可以使用地址轉(zhuǎn)換訪問Internetl支持多個方向上負(fù)載分擔(dān)應(yīng)用支持多個方向上負(fù)載分擔(dān)應(yīng)用NAT RouterISP1PC1Ethernet內(nèi)部網(wǎng)絡(luò)PC2ISP2Page 40地址轉(zhuǎn)換的優(yōu)點：地址轉(zhuǎn)換的優(yōu)點：l地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶方便的訪問Internet。l地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個IP地址上網(wǎng)。l地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性。l地址轉(zhuǎn)換同樣可以提供給外部網(wǎng)絡(luò)WWW、FTP、Telnet服務(wù)。Page 41地址轉(zhuǎn)換的缺點：地址轉(zhuǎn)換的缺點：l地址轉(zhuǎn)換對于報文內(nèi)容中含有有用的地址信息的