認(rèn)證網(wǎng)絡(luò)工程師08訪問(wèn)控制列表及地址轉(zhuǎn)換

1、3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.1列表概述8.1.1IP濾技術(shù)介紹隨著越來(lái)越多的私有網(wǎng)絡(luò)連入公有網(wǎng)，網(wǎng)絡(luò)管理員們逐漸需要面對(duì)這樣一個(gè)問(wèn)題：如何在保證合法的同時(shí)，對(duì)進(jìn)行。這就需要對(duì)路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包做出區(qū)分，即需要濾。路由器對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，包括 IP 層所承載的上層協(xié)議的協(xié)議號(hào)，數(shù)據(jù)包的源地址、目的地址、源端和目的端口等，然后與設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。濾技術(shù)是在路由器上實(shí)現(xiàn)的一種主要方式，而實(shí)現(xiàn)濾技術(shù)最內(nèi)容就是使用列表。1IP濾技術(shù)介紹l 對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比

2、較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn) 濾的 技術(shù)是 列表。內(nèi)部網(wǎng)絡(luò)Internet辦事處公司總部未用戶3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.1.2列表的作用列表具有區(qū)分?jǐn)?shù)據(jù)包的功能，因此，它可以以做“什的事情”。例如：“什的數(shù)據(jù)包”可將列表應(yīng)用于，可以在保證合法用戶的同時(shí)拒絕用戶的。 也可以某種服務(wù)（如 Telnet)通過(guò)，而拒絕另一種服務(wù)（如 DNS)。在 Qos 的應(yīng)用中，我們可以利用列表對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行，重要的數(shù)據(jù)得到優(yōu)先處理，不重要的數(shù)據(jù)后處理，不需要的數(shù)據(jù)被丟棄。在 DDR 中我們則可以用DDR 一章的內(nèi)容）。列表來(lái)規(guī)定哪些數(shù)據(jù)包可以觸發(fā)撥號(hào)（請(qǐng)參見(jiàn)在

3、地址轉(zhuǎn)換中，列表還可以用來(lái)規(guī)定哪些數(shù)據(jù)包需要進(jìn)行地址轉(zhuǎn)換。另外列表還廣泛應(yīng)用于路由策略中，主要用作路由信息的過(guò)濾。2列表的作用l 列表可以用于；l 列表可用于Qos（Quality of Servic e），對(duì)數(shù)據(jù)流量進(jìn)行；l 在DDR中，列表還可用來(lái)規(guī)定觸發(fā)撥號(hào)的條件；l 列表還可以用于地址轉(zhuǎn)換；l 在配置路由策略時(shí)，可以利用列表來(lái)作路由信息的過(guò)濾。3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.1.3列IP 數(shù)據(jù)包具有一定的特征，例如，對(duì)于每個(gè)TCP 數(shù)據(jù)包，都包含有源地址、目的地址、協(xié)議號(hào)、源端口、目的端口，利用這 5 個(gè)元素就可以描述出一個(gè)數(shù)據(jù)包的特征。列表利用的就是利用這

4、些信息來(lái)定義規(guī)則，區(qū)分不同的數(shù)據(jù)包（例如所有源地址是 地址段的數(shù)據(jù)包、所有使用 Telnet的數(shù)據(jù)包等等），路由器將在使能列表的接口上對(duì)所有的數(shù)據(jù)包進(jìn)行規(guī)則的匹配檢查。例如，我們可以定義下面的規(guī)則：y/16 網(wǎng)段的主機(jī)使用協(xié)議 HTTP。acl 101rule permit tcp source 55 destination destination-port equal wwwy從 /16 網(wǎng)段發(fā)出的所有。acl 1rule de

5、ny source 55y不讓任何主機(jī)使用 Telnet 登錄。acl 1013列表是什么？z一個(gè) IP 數(shù)據(jù)包如下圖所示（圖中 IP 所承載的上層協(xié)議為T(mén)CP）：協(xié)議號(hào)源端口對(duì)于TCP來(lái)說(shuō)，這5個(gè)元素組源地址成了一個(gè)TCP相關(guān)，控目的端口制列表就是利用這些元素定目的地址義的規(guī)則數(shù)據(jù)TCP報(bào)頭IP報(bào)頭3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.0rule deny tcp source any destination any destination-port equal telnety某臺(tái)主機(jī) /16 能通過(guò) SMTP 把郵件

6、發(fā)給我們，但是沒(méi)有其他主機(jī)能這樣做。acl 101rule permit tcp source 55 destination any destination-port equalsmtprule deny tcp any destination any destination-port equal smtp然而，你不可以這樣說(shuō)：y這個(gè)用戶能從外部登錄，但是其它用戶不能這樣做。因?yàn)椤坝脩裘辈皇橇斜硭鼙嬲J(rèn)的信息。y你能這些文件而不能那些文件。因?yàn)椤拔募币膊皇菫V系統(tǒng)所能辨認(rèn)的信息。43Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.1.4列表的分類(lèi)

7、在配置標(biāo)識(shí)一條列表時(shí)，我們必須定義一個(gè)序列號(hào)，并利用這個(gè)序列號(hào)來(lái)唯一的列表，同時(shí)我們也可以通過(guò)序列號(hào)來(lái)一條列表。當(dāng)然，這個(gè)序列號(hào)必須保證在協(xié)議所的范圍之內(nèi)，通過(guò)定義序列號(hào)的范圍，我們可以將的列表分為如上圖所示的兩類(lèi)。序列號(hào)的范圍表示了它屬于什列表。例如：acl 1rule permit ip source 55表示序號(hào)為 1 的列表，它是標(biāo)準(zhǔn)列表。acl 100rule deny udp source any destination any destination-port表示序號(hào)為 100 的列表，它是擴(kuò)展列表。5如何標(biāo)識(shí)列表？l 利用數(shù)字標(biāo)識(shí)列表l

8、利用數(shù)字范圍標(biāo)識(shí)列表的種類(lèi)列表的種類(lèi)數(shù)字標(biāo)識(shí)的范圍IP standard list199IP extended list1001993Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.2 標(biāo)準(zhǔn)列表8.2.1標(biāo)準(zhǔn)列表概況規(guī)則序列號(hào)范圍在 1 到 99 之間的列表為標(biāo)準(zhǔn)列表。標(biāo)準(zhǔn)列表只是根據(jù)數(shù)據(jù)包的源地址對(duì)數(shù)據(jù)包進(jìn)行區(qū)分。從 例如在上圖中，如果需要網(wǎng)段來(lái)的數(shù)據(jù)包通過(guò)，而拒絕從列表表示： 網(wǎng)段來(lái)的數(shù)據(jù)通過(guò)，可以用標(biāo)準(zhǔn)acl 1rule permit ip source 55rule deny ip sou

9、rce 556標(biāo)準(zhǔn)列表l 標(biāo)準(zhǔn)列表只使用源地址描述數(shù)據(jù)，表明是還是拒絕。從/24來(lái)的數(shù)據(jù)包可以通過(guò)！從/24來(lái)的數(shù)據(jù)包不能路由器通過(guò)！3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.2.2標(biāo)準(zhǔn)列表的配置命令或拒絕來(lái)自指定網(wǎng)絡(luò)的數(shù)據(jù)包，該網(wǎng)絡(luò)由 IP 地址此命令格式表示： （source-address）和反掩碼（source-wildcard）指定。其中：normal 和 special 表示該規(guī)則是在普通時(shí)間段中有效還是在特殊時(shí)間段中有效。listnumber 為規(guī)則序號(hào)，標(biāo)準(zhǔn)列表的規(guī)則序號(hào)范

10、圍為 1-99。permit 和 deny 表示如果滿足條件則或該數(shù)據(jù)包通過(guò) 。source-address和source-wildcard分別為IP 地址和反掩碼，用來(lái)指定某個(gè)網(wǎng)絡(luò)。7標(biāo)準(zhǔn)列表的配置l 配置標(biāo)準(zhǔn)列表令格式如下：Î acl acl-number match-order config | auto Î rule normal | special permit | deny source source-addr source-wildcard | any 怎樣利用 IP 地址和反掩碼wildcard-mask 來(lái)表示一個(gè)網(wǎng)段?3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)

11、換Issue 4.08.2.3反掩碼簡(jiǎn)介反掩碼的作用和子網(wǎng)掩碼很相似。通常情況下反掩碼看起來(lái)很象一個(gè)顛倒過(guò)來(lái)的IP 地址子網(wǎng)掩碼，但是用法上是不一樣的。IP 地址與反掩碼的關(guān)系語(yǔ)定如下：在反掩碼中相應(yīng)位為 1 的地址中的位在比較中被忽略，為 0 的必須被檢查。IP 地址與反掩碼都是 32 位的數(shù)。例如：/22 網(wǎng)段用子網(wǎng)掩碼表示用反掩碼表示55例如：從 網(wǎng)段來(lái)的數(shù)據(jù)包通過(guò)，而拒絕從 網(wǎng)段來(lái)的數(shù)據(jù)通過(guò)，可以用標(biāo)準(zhǔn)列表表示：acl 1rule

12、 permit source 55rule deny 55另外，對(duì)于任何地址（55），我們可以使用通配符 any 來(lái)代替，以便簡(jiǎn)化輸入。8如何使用反掩碼l 反掩碼和子網(wǎng)掩碼相似，但寫(xiě)法不同：Î 0表示需要比較Î 1表示忽略比較l 反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.3 擴(kuò)展列表8.3.1擴(kuò)展列表概況與標(biāo)準(zhǔn)列表不同的是

13、，擴(kuò)展列表使用數(shù)據(jù)包的源地址的同時(shí)，還使用目的地址和協(xié)議號(hào)（TCP、UDP 等）。對(duì)于使用 TCP、UDP 協(xié)議傳輸?shù)臄?shù)據(jù)包還可以同時(shí)使用目的端做出區(qū)分。來(lái)對(duì)數(shù)據(jù)包例如，利用擴(kuò)展列表可以描述“從 /24 的網(wǎng)段到 /24 的網(wǎng)段的所有IP數(shù)據(jù)包是被拒絕的”，或者“從/24 網(wǎng)段到/24網(wǎng)段的所有 Telnet（使用 TCP 協(xié)議的 23 端口）是被拒絕的”。它們到底如何表示？從具體配置命令來(lái)進(jìn)行介紹。9擴(kuò)展列表l 擴(kuò)展列表使用除源地址外的信息描述數(shù)據(jù)包，表明是還是拒絕。從/ 24

14、來(lái)的,到0的，使用TCP協(xié)議， 利用HTTP的數(shù)據(jù)包可以通過(guò)！路由器3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.3.2擴(kuò)展列表的配置命令normal 和 special 表示該規(guī)則是在普通時(shí)間段生效還是在特殊時(shí)間段有效，缺省的情況是在普通時(shí)間段。listnumber 為列表的序號(hào)范圍為 100-199。列表序號(hào)，擴(kuò)展permit 和 deny 表示或滿足該規(guī)則的數(shù)據(jù)包通過(guò) 。protocol 可以指定為 0-255 之間的任一協(xié)議號(hào)（如 1 表示 ICMP 協(xié)議），對(duì)于常見(jiàn)協(xié)議（如 TCP 和 UDP、ICMP），可以直觀地指定協(xié)議名，若指定為 IP ，

15、則該規(guī)則對(duì)所有 IP 包均起作用。source -addr 和 source-wildcard 分別為源地址和源地址的通配符。dest-address 和 dest-wildcard 分別為目的地址和目的地址的通配符。如果 IP 地址指定為 any，則表示所有 IP 地址，而且不需配置指定相應(yīng)的通配符。Destination-port operator port1 - port2 用于指定端口范圍，缺省為全部端0-65535，只有 TCP 和 UDP 協(xié)議可以指定端口范圍。operate 的意義如下頁(yè)表所示。10擴(kuò)展列表的配置命令l 配置TCP/UDP協(xié)議的擴(kuò)展列表：Î rule n

16、ormal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 loggingl 配置ICMP協(xié)議的擴(kuò)展列表：Î rule normal | special permit | deny icmp source source-addr source-wildcard

17、 | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl 配置其它協(xié)議的擴(kuò)展列表：Î rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.3.3operate擴(kuò)展

18、列表的操作符定義列表的協(xié)議為 TCP 和 UDP 時(shí)，我們還可以在在列表中定義端口的范圍，以進(jìn)行更精確的。上面的膠片中給出了利用操作符 operate 定義端口范圍的語(yǔ)法及含義。在指定 portnumber 時(shí)，對(duì)于常用的端記符”代替。如 FTP、Telnet 等。下面是一個(gè)簡(jiǎn)單的例子：可以使用“助acl 101rule deny tcp source destination-port equal ftp55 destination 55 網(wǎng)段內(nèi)的主機(jī) 網(wǎng)段內(nèi)的主機(jī)的 ftp

19、端口（21）。11擴(kuò)展列表操作符的含義操作符及語(yǔ)法意義equal portnumber等于端portnumbergreater-than portnumber大于端portnumberless-than portnumber小于端portnumbernot-equal portnumber不等于端portnumberrange portnumber1portnumber2介于端portnumber1 和portnumber2之間3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.3.4擴(kuò)展列表的舉例下列表格所列為可能用到的各類(lèi)端與助記符的對(duì)照表，供參考。12協(xié)議助記符意義及實(shí)際值TCP

20、Bgp Chargen Cmd Daytime Discard Domain Echo Exec Finger FtpFtp-data Gopher Hostname Irc Klogin Kshell Login LpdNntp Pop2 Pop3 Smtp Sunrpc Syslog Tacacs Talk TelnetBorder Gateway Protocol (179) Character generator (19) Remote commands (rcmd, 514) Daytime (13)Discard (9)Domain Name Service (53) Echo (

21、7)Exec (rsh, 512)Finger (79)File Transfer Protocol (21) FTP data connections (20) Gopher (70)NIC hostname server (101) Internet Relay Chat (194) Kerberos login (543)Kerberos shell (544)Login (rlogin, 513)Printer service (515)Network News Transport Protocol (119) Post Office Protocol v2 (109)Post Off

22、ice Protocol v3 (110)SimplTransport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)TAC Access Control System (49) Talk (517)Telnet (23)擴(kuò)展列表舉例l rule deny icmp source 55 destination any icmp-type host-redirectICMP主機(jī)重定向報(bào)文/16l rule deny tcp source

23、55 55 equal www loggingT CP報(bào)文WWW 端口/16202 38 160.0/24問(wèn)題: 下面這條列表表示什么意思?rule deny udp source 55 55 great-than 1283Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.0ICMP 協(xié)議可以指定 ICMP 報(bào)文類(lèi)型，缺省為全部ICMP 報(bào)文。指定 ICMP對(duì)于報(bào)文類(lèi)型時(shí)，可以用數(shù)字（0-255），也可以用助記符。助記符如下：13助記符意義echoecho-re

24、ply fragmentneed-DFset host-redirecthost-tos-redirect host-unreachable information-reply information-request net-redirectnet-tos-redirect net-unreachableparameter-problem port-unreachable protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-requestttl-e

25、xceededType=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3,Code=3 Type=3, Code=2 Type=11,Code=1 Type=4,Code=0 Type=3,Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Cod

26、e=0Time Uucp Whois WwwTime (37)Unix-to-Unix Copy Program (540) ame (43)World Wide Web (HTTP, 80)UDPbiff bootpc bootps discard dns dnsix echomobilip-ag mobilip-mn nameserver netbios-dgm netbios-ns netbios-ssn ntprip snmpsunrpc syslog tacacs-ds talktftp time who xdmcpMail notify (512)Bootstrap Protoco

27、l Client (68) Bootstrap Protocol Server (67) Discard (9)Mail notify (512)DNSIX Securit Attribute Token Map (90) Echo (7)MobileIP-Agent (434)MobilIP-MN (435)Host Name Server (42)NETBIOS Datagram Service (138) NETBIOS Name Service (137) NETBIOS Session Service (139) Network Time Protocol (123) Routing

28、 Information Protocol (520) SNMP (161)(162)SUN Remote Procedure Call (111) Syslog (514)TACACS-Database Service (65)Talk (517)Trivial File Transfer (69) Time (37)Who(513)X Display Manager Control Protocol (177)3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.4如何使用列表8.4.1列表的配置前面我們簡(jiǎn)單的介紹了 Quidway系列路由器配置列表的相關(guān)內(nèi)容。通過(guò)前面的介紹，大家應(yīng)

29、該初步掌握了如何配置一條標(biāo)準(zhǔn)或擴(kuò)展列表。但是如果需要列表真正發(fā)揮作用，達(dá)到濾的目的，我們還需要進(jìn)行一些其他的配置下面我們?yōu)榇蠹医榻B完成列表配置的步驟。y/（Quidway 系列路由器默認(rèn)是功能）y定義列表（標(biāo)準(zhǔn)或擴(kuò)展）y在接口上應(yīng)用列表在實(shí)際的使用中，還可能用到以下的擴(kuò)展應(yīng)用：1.設(shè)置的缺省過(guò)濾模式；2.或時(shí)間段；3.4.設(shè)定時(shí)間段；日志主機(jī)；5.指定日志主機(jī)；6.顯示配置狀況。其中，2 和 4 均在配置列表中設(shè)置，1、3、5 和 6 由專(zhuān)門(mén)令完成。14如何使用列表Internet公司總部網(wǎng)絡(luò)Rules of ACLl 按照實(shí)際需求可以擴(kuò)展以下應(yīng)用：Î 設(shè)置的缺省過(guò)濾模式Î

30、或時(shí)間段過(guò)濾Î 設(shè)定特殊時(shí)間段Î 指定日志主機(jī)將列表應(yīng)用到接口上啟用3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.4.2的屬性配置命令在的屬性配置命令中，首先是打開(kāi)：firewall enable | disable/過(guò)濾；其次，是設(shè)置的缺省過(guò)濾模式：firewall default permit | deny 缺省方式是還是；缺省過(guò)濾模式用來(lái)定義對(duì)式，Quidway 系列路由器列表以外的 IP 或者 TCP 等數(shù)據(jù)包的處理方的默認(rèn)過(guò)濾模式是。用 display firewall 命令可以顯示狀態(tài)信息。Quidwaydisplay firewallFirewa

31、ll is enable, default filtering method is 'permit'.TimeRange packet-filtering disable.InBound : 0 packets, 0 bytes, 0% permitted,0 packets, 0bytes, 0% denied,634 packets,32968 bytes, 100% permitted defaultly,0 packets, 0bytes, 0% denied defaultly;From 00:40:09 to 00:40:130 packets, 0 bytes,

32、permitted,0 packets, 0 bytes, denied,15的屬性配置命令l 打開(kāi)或者關(guān)閉Î firewall enable | disable l 設(shè)置的缺省過(guò)濾模式Î firewall default permit|deny l 顯示的狀態(tài)信息Î display firewall3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.00 packets, 0 bytes, permitted defaultly,0 packets, 0 bytes, denied defaultly;OutBound: 0 packets, 0 bytes,

33、 0% permitted,0 packets, 0 bytes, 0% denied,2297 packets, 151316 bytes, 100% permitteddefaultly,0 packets, 0 bytes, 0% denied defaultly.From00:40:09 to 00:40:130packets,0 bytes, permitted,0packets,0 bytes, denied,1packets,64 bytes, permitted defaultly,0packets,0bytes,denieddefaultly;.163Com 認(rèn)證網(wǎng)絡(luò)工程師列

34、表及地址轉(zhuǎn)換Issue 4.08.4.3在接口上應(yīng)用列表為了使列表生效，必須將列表定義在接口上?；诮涌谂渲昧斜?，使列表生效：firewall packet-filter acl-number inbound | outbound 使用此命令來(lái)將規(guī)則應(yīng)用到接口上。如果要過(guò)濾從接口收上來(lái)的報(bào)文則使用 inbound 關(guān)鍵字，如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文則使用 outbound 關(guān)鍵字，如果不帶方向參數(shù)則認(rèn)為采用 outbound 關(guān)鍵字。例如：要將 1 號(hào)如下命令：列表應(yīng)用到串口 0 上，則在在 Serial0 口配置模式下執(zhí)行firewall packet-filter 1 inbound這樣將

35、在 Serial0 口上，對(duì)進(jìn)入路由器的數(shù)據(jù)包，使用列表 1 進(jìn)行過(guò)濾。17在接口上應(yīng)用列表l 將列表應(yīng)用到接口上l 指明在接口上是OUT還是IN方向列表3列表101作用在Se rial0接口作用在Ethernet0接口上在out方向有效在in方向上有效Ethernet0Seria l03Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.4.4時(shí)間段濾基于時(shí)間段，用戶可以指定一天24 小時(shí)中的任意時(shí)間段為特殊時(shí)間段（可以是多個(gè)），不在任何特殊時(shí)間段的其他時(shí)間稱為普通時(shí)間段。用戶在定義時(shí)，可以指定該規(guī)則是在特殊時(shí)間段還是在普通時(shí)間段生效。列表18基于時(shí)間段的濾l “特殊時(shí)間段內(nèi)應(yīng)用特殊的

36、規(guī)則”InternetRules of ACL上班時(shí)間（上午8：00 下午5：00） 只能特定的站點(diǎn)；其余時(shí)間可以其他站點(diǎn)3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.0timerange enable|disable |時(shí)間段Quidway默認(rèn)為時(shí)間段。settrbegin-time end-time begin-time end-time設(shè)置特殊時(shí)間段displayisintr顯示當(dāng)前時(shí)間是否在特殊時(shí)間段內(nèi)displaytimerange顯示配置的時(shí)間段19時(shí)間段的配置命令l time range 命令Î timerange enable|disable l no set

37、tr 命令Î settr begin-time end-time begin-time end-timeÎ no settrl show isintr 命令Î display isintrl show timerange 命令Î display timerange3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.4.5日志功能日志功能用以下所有來(lái)犯的操作信息，在列表日志功能后，需再配置另一條命令 logging host，以指定日志主機(jī)的位置。日志主機(jī)可以是一臺(tái)普通的網(wǎng)絡(luò)工作站，也可以是的服務(wù)器，它們之上需運(yùn)行標(biāo)準(zhǔn)的日志程序，以接收路由器發(fā)回的

38、日志。路由器側(cè)的配置舉例如下：！開(kāi)啟日志系統(tǒng)。Quidwayinfo-center enable！將 ip 地址為 19 的主機(jī)用作日志主機(jī)。Quidwayinfo-center loghost 0 19 51420日志功能的配置命令l 日志功能是在特定的主機(jī)上下來(lái)的操作：l “info-center enable”命令用于開(kāi)啟日志系統(tǒng)。l “info-center loghost”命令用于配置日志主機(jī)地址等相關(guān)屬性。l “display debugging”命令用于顯示日志配置信息。在Quidway路由器上提供了非常豐富的日志功能， 詳細(xì)內(nèi)容請(qǐng)參考

39、配置手冊(cè)3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.4.6列表的組合一條列表可以包含多條規(guī)則。而對(duì)于一條列表中的多條規(guī)則，路由器上定義了兩種匹配順序：auto 和 config。其中 auto 表示采用深度優(yōu)列表進(jìn)行自動(dòng)排序；config 則表示依據(jù)用戶輸入的配置順序進(jìn)列表規(guī)則一定會(huì)先匹配。我們可以用下列命令來(lái)配置先原則對(duì)行匹配，先配置的列表的匹配順序：acl acl-number match-order config | auto 如果兩條規(guī)則有，而列表的匹配順序?yàn)?auto，即“深度優(yōu)先”時(shí)，在這種情況下描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。例如：access-list

40、1permit55access-list 1deny55對(duì)于 3 這樣的地址，地址范圍小。列表是認(rèn)為是拒絕的。因?yàn)榈诙l指定的如果兩條規(guī)則有，而列表的匹配順序?yàn)?config。這時(shí)先配置的列表規(guī)則則會(huì)被優(yōu)先考慮。21列表的組合l 一條列表可以由多條規(guī)則組成,對(duì)于這些規(guī)則，有兩種匹配順序：auto和config。l 規(guī)則時(shí)，若匹配順序?yàn)閍ut o（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。Î 深度的要依靠通配比較位和IP地址結(jié)合比較Ø access-list 4

41、deny 55Ø access-list 4 permit 55Ø 兩條規(guī)則結(jié)合則表示一個(gè)大（）上的主機(jī)但其中的一小部分主 機(jī)（）的。l 規(guī)則時(shí)，若匹配順序?yàn)閏onfig，先配置的規(guī)則會(huì)被優(yōu)先考慮。3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.5地址轉(zhuǎn)換簡(jiǎn)介地址轉(zhuǎn)換是在 IP 地址日益短缺的情況下提出的。不能保證每臺(tái)主機(jī)都擁有合法的公網(wǎng) IP 地一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接 Internet 網(wǎng)絡(luò)的目的

42、，可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此地址轉(zhuǎn)換同時(shí)也是一種有效的保護(hù)技術(shù)。地址轉(zhuǎn)換還可以按照用戶的需要，通過(guò)局域網(wǎng)內(nèi)部的服務(wù)器向外部網(wǎng)絡(luò)提供FTP、WWW、Telnet 等服務(wù)。22地址轉(zhuǎn)換的提出背景l(fā) 地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。l 一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)， 不能保證每臺(tái)主機(jī)都擁有合法的IP 地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。l 地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時(shí)是一種有效的 保護(hù)技術(shù)。l 同時(shí)地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Teln

43、et服務(wù)。3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.5.1私有地址和公有地址私有地址是指內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)內(nèi)部）的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在 Internet 上的全球唯一的 IP 地址）。 Internet 地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址：-55-55-55也就是說(shuō)這網(wǎng)）的地址在 Internet 上被分配，但可以在一個(gè)企業(yè)（局域。各個(gè)企業(yè)根據(jù)在可預(yù)見(jiàn)的將來(lái)主機(jī)數(shù)量的多少，來(lái)選擇一個(gè)合適的網(wǎng)絡(luò)地址。不同的企業(yè)，

44、他們的內(nèi)部網(wǎng)絡(luò)地址可以相同。如果一個(gè)公司選擇其他的網(wǎng)段作為內(nèi)部網(wǎng)絡(luò)地址，則有可能會(huì)引起路由表的，因此構(gòu)建的內(nèi)部局域網(wǎng)的時(shí)候，都應(yīng)該選擇上面這三個(gè)網(wǎng)段的地址做為的 IP 地址。公有地址就是從 Internet 地址分配組織得到的合法 IP 地址，對(duì)于用戶來(lái)說(shuō)，一般該地址都是從 ISP 申請(qǐng)的。23私有地址和公有地址LA N2LA N1Internet私有地址范圍：LA N3- 55- 55 - 553

45、Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.5.2地址轉(zhuǎn)換的原理因?yàn)椴煌木钟蚓W(wǎng)中的計(jì)算機(jī)可以采用相同的私有地址，所以如果局域網(wǎng)中的計(jì)算機(jī)在同 Internet 中的計(jì)算機(jī)通信時(shí)，必須將否則可能會(huì)同其他局域網(wǎng)中的計(jì)算機(jī)產(chǎn)生的私有地址轉(zhuǎn)換為公有地址，。因?yàn)榈刂啡諠u稀少，所以在實(shí)際的應(yīng)用中，可供轉(zhuǎn)換的公有地址往往少于局域網(wǎng)中的主機(jī)數(shù)，所以我們一般采用 PAT（Port Address Translation）方式進(jìn)行地址轉(zhuǎn)換。PAT 方式的地址轉(zhuǎn)換是采用了“地址端口”的方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè) IP 地址Internet。例如：在上圖中，主機(jī) 1 發(fā)出一個(gè)源地址為

46、 ，源端為 3000 的數(shù)據(jù)包，局域網(wǎng)的出口路由器在處理這個(gè)數(shù)據(jù)包的時(shí)候，會(huì)將它的源地址改為公網(wǎng)地址 ，源端改為 4000，再將它送到 Internet 中，這樣一來(lái)，就同其他局域網(wǎng)中的計(jì)算機(jī)產(chǎn)生了。同理，域網(wǎng)的出口路由器收到一個(gè)目的地址為 ，目的端為 4000的數(shù)據(jù)包時(shí)，路由器會(huì)將數(shù)據(jù)包的目的地址改為 ，目的端3000，再將它送到局域網(wǎng)中。這樣數(shù)據(jù)包就會(huì)被準(zhǔn)確的送達(dá)主機(jī) 1。改為需要注意的是，并不是在所有的情況下都可以使用地址轉(zhuǎn)換。由于地址轉(zhuǎn)換會(huì)對(duì)報(bào)文頭進(jìn)行修改，因此在報(bào)文頭被加密或受保護(hù)的情況下是無(wú)法使用地址轉(zhuǎn)

47、換24地址轉(zhuǎn)換的原理IP 報(bào)文PC1地址轉(zhuǎn)換InternetPC2局域網(wǎng)IP:192.168.0 2Port:3010IP:Port:4001IP:Port:4000IP:192.168.0 1Port:30003Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.0的。比如：利用 IPSEC（IP轉(zhuǎn)換。Security）進(jìn)行了加密保護(hù)的數(shù)據(jù)包就無(wú)法進(jìn)行地址8.5.3地址轉(zhuǎn)換的方式通常在一個(gè)局域網(wǎng)中，并不是所有的主機(jī)都需要通過(guò)地址轉(zhuǎn)換來(lái)Internet，因此我們可以通過(guò)將列表同地址轉(zhuǎn)換結(jié)合使用，來(lái)局域網(wǎng)內(nèi)的主機(jī)對(duì)外部網(wǎng)絡(luò)的。此時(shí)，對(duì)于需要進(jìn)行地址轉(zhuǎn)換的數(shù)據(jù)包

48、，首先要通過(guò)列表的過(guò)濾，通過(guò)之后才能進(jìn)行地址轉(zhuǎn)換。對(duì)于無(wú)需地址轉(zhuǎn)換的數(shù)據(jù)包，這些訪問(wèn)列表不起作用。25利用ACL地址轉(zhuǎn)換PC1Internet設(shè)置列表控制pc1可以通過(guò)地址PC2局域網(wǎng)轉(zhuǎn)換Internet,而pc2則不行。l 可以使用列表來(lái)決定那些主機(jī)可以Internet，那些不能。3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.5.4EASY IP 特性在路由器上配址轉(zhuǎn)換通常有兩種方法：一種是配置列表和接口的關(guān)聯(lián)（又稱 EASY IP 特性），它是指在地址轉(zhuǎn)換的過(guò)程中直接使用接口的 IP 地址作為轉(zhuǎn)換后的源地址，適用于兩種情況：1、在撥號(hào)方式下，用戶希望由協(xié)商方式得到的接口 IP

49、 地址作為地址轉(zhuǎn)換后的源地址。例如在一個(gè)局域網(wǎng)中的主機(jī)通過(guò)一臺(tái)路由器撥號(hào)Internet，而路由器撥號(hào)接口的 IP 地址是由接入服務(wù)器協(xié)商分配的且不固定，對(duì)于這種情況我們可以配置列表和接口的關(guān)聯(lián)，以對(duì)端分配的 IP 地址作為地址轉(zhuǎn)換后的地址；2、另一種情況是接口的 IP 地址固定，而用戶希望就使用接口本身的 IP 地址作為地址轉(zhuǎn)換后的源地址。配置列表和接口的關(guān)聯(lián)（又稱 EASY IP 特性）令如下：nat outbound acl-number interface在接口模式下進(jìn)行配置，缺省情況下，列表不與任何接口關(guān)聯(lián)。26Easy IP特性l Easy IP：在地址轉(zhuǎn)換的過(guò)程中直接使用接口的I

50、P地址作為轉(zhuǎn)換后的源地址。PC1S0:InternetPC1 和 PC2 可以直接使用 S0接口的IP 地址PC2局域網(wǎng)作為地址轉(zhuǎn)換后的公用IP地址3Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.0另一種配址轉(zhuǎn)換的方法是利用地址地址轉(zhuǎn)換。地址池，顧名思義就是一些地址的集合。在地址轉(zhuǎn)換中，應(yīng)該是一些合法 IP 地址（公有網(wǎng)絡(luò) IP 地址的集合）。用戶可根據(jù)擁有的合法 IP 地址的多少、內(nèi)部網(wǎng)絡(luò)主機(jī)的多少、以及實(shí)際應(yīng)用情況，配置合適的 IP 地址池。地址轉(zhuǎn)換的過(guò)程中，將會(huì)從地址池中挑選一個(gè)地址做為轉(zhuǎn)換的源地址。地址一些連續(xù)的 IP 地址集合，當(dāng)內(nèi)部數(shù)據(jù)包通過(guò)地址轉(zhuǎn)換到達(dá)外部

51、網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址。有關(guān)地址池的配置在全局模式下進(jìn)行，其命令如下：y定義一個(gè)地址池：nat address-group start-addr end-addr pool-name刪除一個(gè)地址池：undo nat address-group pool-name每個(gè)地址池中的地址必須是連續(xù)的，每個(gè)地址池內(nèi)最多可定義 64 個(gè)地址。需要注意的是：當(dāng)某個(gè)地址池已經(jīng)和某個(gè)刪除這個(gè)地址池的。列表關(guān)聯(lián)進(jìn)行地址轉(zhuǎn)換，是不27使用地址地址轉(zhuǎn)換PC1地址池InternetPC2局域網(wǎng)l 地址池用來(lái)動(dòng)態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合，利用不超過(guò)32字節(jié)的字符串標(biāo)識(shí)。l 地址池可以支持的局域網(wǎng)用戶同時(shí)上Internet。202 38.160 1202 38.160 2202 38.160 3202 38.160.43Com 認(rèn)證網(wǎng)絡(luò)工程師列表及地址轉(zhuǎn)換Issue 4.08.5.5內(nèi)部服務(wù)器的應(yīng)用在實(shí)際的應(yīng)用中，有時(shí)需要將局域網(wǎng)中的服務(wù)（如FTP 服務(wù)、郵件服務(wù)等）向Internet 開(kāi)放，在提供這些服務(wù)的過(guò)程中，流經(jīng)出口路由器的數(shù)據(jù)包的內(nèi)容部分可能也會(huì)包含需要轉(zhuǎn)換的 IP 地址和端，這時(shí)