網(wǎng)絡(luò)互聯(lián)與路由網(wǎng)絡(luò)管理及安全技術(shù)

5網(wǎng)絡(luò)地址管理及平安技術(shù)主講教師：荊山信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系2網(wǎng)絡(luò)互聯(lián)與路由本章學(xué)習(xí)目標(biāo)了解網(wǎng)絡(luò)平安關(guān)注范圍及必要技術(shù)理解路由器實現(xiàn)防火墻的方式熟練掌握ACL的概念、配置及故障排除熟練掌握DHCP的概念、配置及故障排除熟練掌握NAT的配置及常見故障排除學(xué)習(xí)完本章內(nèi)容后，您應(yīng)該能夠：信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系3網(wǎng)絡(luò)互聯(lián)與路由5網(wǎng)絡(luò)地址管理及平安技術(shù)5.1網(wǎng)絡(luò)平安及防火墻技術(shù)簡介5.2ACL技術(shù)簡介及配置5.3DHCP技術(shù)簡介及配置5.4NAT技術(shù)簡介及配置5.5其它技術(shù)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系4網(wǎng)絡(luò)互聯(lián)與路由5.1.1網(wǎng)絡(luò)平安概述網(wǎng)絡(luò)平安是Internet必須面對的一個實際問題網(wǎng)絡(luò)平安是一個綜合性的技術(shù)網(wǎng)絡(luò)平安具有兩層含義：保證內(nèi)部局域網(wǎng)的平安〔不被非法侵入〕保護(hù)和外部進(jìn)行數(shù)據(jù)交換的平安網(wǎng)絡(luò)平安技術(shù)的完善和更新信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系5網(wǎng)絡(luò)互聯(lián)與路由5.1.2網(wǎng)絡(luò)平安關(guān)注的范圍常常從如下幾個方面綜合考慮整個網(wǎng)絡(luò)的平安保護(hù)網(wǎng)絡(luò)物理線路不會輕易遭受攻擊有效識別合法的和非法的用戶實現(xiàn)有效的訪問控制保證內(nèi)部網(wǎng)絡(luò)的隱蔽性有效的防偽手段，重要的數(shù)據(jù)重點保護(hù)對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞钠桨补芾聿《痉婪短岣咂桨卜婪兑庾R信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系6網(wǎng)絡(luò)互聯(lián)與路由5.1.3網(wǎng)絡(luò)平安的必要技術(shù)針對網(wǎng)絡(luò)存在的各種平安隱患，平安路由器必須具有如下平安特性：可靠性和線路平安身份認(rèn)證訪問控制信息隱藏數(shù)據(jù)加密和防偽平安管理信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系7網(wǎng)絡(luò)互聯(lián)與路由

防火墻示意圖對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)那么進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系8網(wǎng)絡(luò)互聯(lián)與路由5.1.5路由器實現(xiàn)防火墻功能IP報文轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層規(guī)那么查找機(jī)制輸入報文規(guī)那么庫手工配置規(guī)那么生成機(jī)制手工配置規(guī)那么生成機(jī)制規(guī)那么查找機(jī)制輸出報文規(guī)那么庫由規(guī)那么決定報文轉(zhuǎn)發(fā)動作:丟棄或轉(zhuǎn)發(fā)由規(guī)那么決定報文轉(zhuǎn)發(fā)動作:丟棄或轉(zhuǎn)發(fā)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系9網(wǎng)絡(luò)互聯(lián)與路由5網(wǎng)絡(luò)地址管理及平安技術(shù)5.1網(wǎng)絡(luò)平安及防火墻技術(shù)簡介5.2ACL技術(shù)簡介及配置5.3DHCP技術(shù)簡介及配置5.4NAT技術(shù)簡介及配置5.5其它技術(shù)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系10網(wǎng)絡(luò)互聯(lián)與路由5.2.1訪問控制列表(ACL)簡介ACL〔AccessControlList，訪問控制列表〕是用來實現(xiàn)數(shù)據(jù)包識別功能的ACL可以應(yīng)用于諸多方面訪問控制列表可以用于防火墻；訪問控制列表可用于Qos〔QualityofService〕，對數(shù)據(jù)流量進(jìn)行控制；訪問控制列表還可以用于地址轉(zhuǎn)換；在配置路由策略時，可以利用訪問控制列表來作路由信息的過濾。信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系11網(wǎng)絡(luò)互聯(lián)與路由5.2.1訪問控制列表(ACL)簡介ACL的機(jī)理一個IP數(shù)據(jù)包如以下圖所示〔圖中IP所承載的上層協(xié)議為TCP〕：IP報頭TCP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP來說，這5個元素組成了一個TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系12網(wǎng)絡(luò)互聯(lián)與路由5.2.1訪問控制列表(ACL)簡介ACL的機(jī)理對進(jìn)出的數(shù)據(jù)包逐個過濾，丟棄或允許通過ACL應(yīng)用于接口上，每個接口的出入雙向分別過濾僅當(dāng)數(shù)據(jù)包經(jīng)過一個接口時，才能被此接口的此方向的ACL過濾入方向過濾入方向過濾出方向過濾出方向過濾接口接口路由轉(zhuǎn)發(fā)進(jìn)程信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系13網(wǎng)絡(luò)互聯(lián)與路由5.2.2ACL的分類利用數(shù)字標(biāo)識訪問控制列表利用數(shù)字范圍標(biāo)識訪問控制列表的種類列表的種類數(shù)字標(biāo)識的范圍IPstandardlist1－99IPextendedlist100－199信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系14網(wǎng)絡(luò)互聯(lián)與路由5.2.3標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù)，說明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系15網(wǎng)絡(luò)互聯(lián)與路由5.2.3標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表的配置配置標(biāo)準(zhǔn)訪問列表的命令格式如下：aclacl-number[match-orderconfig|auto]rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]TimerangeenableSettr{begin-tmeend-time}Special表示指定本規(guī)那么參加到時間段規(guī)那么中信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系16網(wǎng)絡(luò)互聯(lián)與路由5.2.3標(biāo)準(zhǔn)訪問控制列表如何使用通配符掩碼通配符掩碼和子網(wǎng)掩碼相似，但寫法不同：0表示需要比較1表示忽略比較000255只比較前24位003255只比較前22位0255255255只比較前8位怎樣利用IP地址和

通配符掩碼wildcard-mask

來表示一個網(wǎng)段?信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系17網(wǎng)絡(luò)互聯(lián)與路由5.2.3標(biāo)準(zhǔn)訪問控制列表通配符掩碼的應(yīng)用例如IP地址通配符掩碼表示的地址范圍55/2455/2255/855/055/24和/24信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系18網(wǎng)絡(luò)互聯(lián)與路由5.2.3標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表例子[Quidway]acl10[Quidway-acl-10]rulenormaldenysourceany信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系19網(wǎng)絡(luò)互聯(lián)與路由5.2.4擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表使用除源地址外更多的信息(如目的地址，上層協(xié)議信息等)描述數(shù)據(jù)包，說明是允許還是拒絕。aclacl-number[match-orderconfig|auto]從/24來的,到0的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系20網(wǎng)絡(luò)互聯(lián)與路由5.2.4擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表的配置命令配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-port

operatorport1[port2]][logging]配置ICMP協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-type

icmp-code][logging]配置其它協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系21網(wǎng)絡(luò)互聯(lián)與路由5.2.4擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表操作符的含義操作符及語法意義equalportnumber等于端口號portnumbergreater-than

portnumber大于端口號portnumberless-thanportnumber小于端口號portnumbernot-equalportnumber不等于端口號portnumberrange

portnumber1portnumber2介于端口號portnumber1

和portnumber2之間信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系22網(wǎng)絡(luò)互聯(lián)與路由5.2.4擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表舉例ruledenyicmpsource55destinationanyicmp-type51ruledenytcpsource55destinationequalwwwlogging/16ICMP主機(jī)重定向報文TCP報文WWW端口信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系23網(wǎng)絡(luò)互聯(lián)與路由思考1.[Quidway]acl101Rulepermiticmpsourceanydestinationanyicmp-typeechoRulepermiticmpsourceanydestinationanyicmp-typeecho-replyRuledenyicmpsourceanydestinationany2.[Quidway]acl102Rulepermittcpsourceanydestinationdestination-portequalftploggingRulepermittcpsourceanydestinationdestination-portequaltelnetloggingRuledenyipsourceanydestinationany請建立一個控制訪問列說明確規(guī)定只允許主機(jī)到主機(jī)的數(shù)據(jù)流。信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系24網(wǎng)絡(luò)互聯(lián)與路由5.2.5如何使用訪問控制列表按照實際需求可以擴(kuò)展以下應(yīng)用：設(shè)置防火墻的缺省過濾模式允許或禁止時間段過濾設(shè)定特殊時間段指定日志主機(jī)Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系25網(wǎng)絡(luò)互聯(lián)與路由5.2.6防火墻的屬性配置命令翻開或者關(guān)閉防火墻firewall{enable|disable}設(shè)置防火墻的缺省過濾模式firewalldefault{permit|deny}將規(guī)那么應(yīng)用到相應(yīng)的接口上Firewallpacket-filteracl-number[inbound/outbound]顯示防火墻的狀態(tài)信息displayfirewall信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系26網(wǎng)絡(luò)互聯(lián)與路由5.2.6防火墻的屬性配置命令在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向Ethernet0訪問控制列表101作用在Ethernet0接口在out方向有效Serial0訪問控制列表3作用在Serial0接口上在in方向上有效信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系27網(wǎng)絡(luò)互聯(lián)與路由基于時間段的包過濾“特殊時間段內(nèi)應(yīng)用特殊的規(guī)那么〞Internet上班時間（上午8：00－下午5：00）只能訪問特定的站點；其余時間可以訪問其他站點信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系28網(wǎng)絡(luò)互聯(lián)與路由ACL規(guī)那么的匹配順序一條訪問列表可以由多條規(guī)那么組成,對于這些規(guī)那么，有兩種匹配順序：auto和config。規(guī)那么沖突時，假設(shè)匹配順序為auto〔深度優(yōu)先〕，描述的地址范圍越小的規(guī)那么，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledenysource55rulepermitsource55兩條規(guī)那么結(jié)合那么表示禁止一個大網(wǎng)段〔〕上的主機(jī)但允許其中的一小局部主機(jī)〔〕的訪問。規(guī)那么沖突時，假設(shè)匹配順序為config，先配置的規(guī)那么會被優(yōu)先考慮。信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系29網(wǎng)絡(luò)互聯(lián)與路由在網(wǎng)絡(luò)中的正確位置配置ACL包過濾盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL，以減少不必要的流量轉(zhuǎn)發(fā)高級ACL應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL，以盡早阻止不必要的流量進(jìn)入網(wǎng)絡(luò)根本ACL過于靠近被過濾源的根本ACL可能阻止該源訪問合法目的應(yīng)在不影響其他合法訪問的前提下，盡可能使ACL靠近被過濾的源信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系30網(wǎng)絡(luò)互聯(lián)與路由訪問控制列表配置舉例InternetFTP效勞器Telnet效勞器WWW效勞器公司內(nèi)部局域網(wǎng)特定的外部用戶信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系31網(wǎng)絡(luò)互聯(lián)與路由訪問控制列表配置舉例[Quidway]firewallenable[Quidway]firewalldefaultpermit[Quidway]acl101[Quidway-acl-101]ruledenyipsourceanydestinationany[Quidway-acl-101]rulepermitipsourcedestinationany[Quidway-acl-101]rulepermitipsourcedestinationany[Quidway-acl-101]rulepermitipsourcedestinationany[Quidway-acl-101]rulepermitipsourcedestinationany[Quidway]acl102[Quidway-acl-102]rulepermittcpsourcedestination0[Quidway]-acl-102rulepermittcpsourceanydestinationdestination-portgreat-than1024[Quidway-Ethernet0]firewallpacket-filter101inbound

[Quidway-Serial0]firewallpacket-filter102inbound

信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系32網(wǎng)絡(luò)互聯(lián)與路由5網(wǎng)絡(luò)地址管理及平安技術(shù)5.1網(wǎng)絡(luò)平安及防火墻技術(shù)簡介5.2ACL技術(shù)簡介及配置5.3DHCP技術(shù)簡介及配置5.4NAT技術(shù)簡介及配置5.5其它技術(shù)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系33網(wǎng)絡(luò)互聯(lián)與路由5.3.1DHCP簡介DHCP是DynamicHostConfigurationProtocol〔動態(tài)主機(jī)配置協(xié)議〕的縮寫DHCP是從BOOTP〔BootstrapProtocol〕協(xié)議開展而來，其作用向主機(jī)動態(tài)分配IP地址及其他相關(guān)信息DHCP采用客戶端/效勞器模式，效勞器負(fù)責(zé)集中管理，客戶端向效勞器提出配置申請，效勞器根據(jù)策略返回相應(yīng)配置信息DHCP報文采用UDP封裝。效勞器所偵聽的端口號是67，客戶端的端口號是68信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系34網(wǎng)絡(luò)互聯(lián)與路由5.3.1DHCP簡介DHCP特點即插即用性客戶端無須配置即能獲得IP地址及相關(guān)參數(shù)。簡化客戶端網(wǎng)絡(luò)配置，降低維護(hù)本錢統(tǒng)一管理所有IP地址及相關(guān)參數(shù)信息由DHCP效勞器統(tǒng)一管理，統(tǒng)一分配使用效率高通過IP地址租期管理，提高IP地址的使用效率可跨網(wǎng)段實現(xiàn)通過使用DHCP中繼，可使處于不同子網(wǎng)中的客戶端和DHCP效勞器之間實現(xiàn)協(xié)議報文交互信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系35網(wǎng)絡(luò)互聯(lián)與路由5.3.1DHCP簡介DHCP系統(tǒng)組成DHCP效勞器能提供DHCP功能的效勞器或具有DHCP功能的網(wǎng)絡(luò)設(shè)備DHCP中繼一般為路由器或三層交換機(jī)等網(wǎng)絡(luò)設(shè)備DHCP客戶端需要動態(tài)獲得IP地址的主機(jī)DHCPServer網(wǎng)絡(luò)1DHCPRelay網(wǎng)絡(luò)2DHCPClient信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系36網(wǎng)絡(luò)互聯(lián)與路由5.3.2DHCP地址分配方式手工分配根據(jù)需求，網(wǎng)絡(luò)管理員為某些少數(shù)特定的主機(jī)〔如DNS效勞器、打印機(jī)〕綁定固定的IP地址，其地址不會過期自動分配為連接到網(wǎng)絡(luò)的某些主機(jī)分配IP地址，該地址將長期由該主機(jī)使用動態(tài)分配主機(jī)申請IP地址最常用的方法。DHCP效勞器為客戶端指定一個IP地址，同時為此地址規(guī)定了一個租用期限，如果租用時間到期，客戶端必須重新申請IP地址信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系37網(wǎng)絡(luò)互聯(lián)與路由5.3.3IP地址動態(tài)獲取過程誰能給我分配IP地址？我能給你分配IP地址好，我就用你分配的好，我確認(rèn)！DHCPClientDHCPServerTCP/IP信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系38網(wǎng)絡(luò)互聯(lián)與路由5.3.4IP地址拒絕及釋放你提供的已經(jīng)有人使用了，我拒絕使用！DHCPClientDHCPServerTCP/IP我不想使用你分配的地址，請給其他人使用吧信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系39網(wǎng)絡(luò)互聯(lián)與路由5.3.5DHCP租約更新我想繼續(xù)使用你分配的IP地址，可以嗎？DHCPClientDHCPServerOK，你可以繼續(xù)使用使用時間到達(dá)租期的50%我想繼續(xù)使用你分配的IP地址，可以嗎？OK，你可以繼續(xù)使用使用時間到達(dá)租期的87.5%TCP/IP信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系40網(wǎng)絡(luò)互聯(lián)與路由5.3.6DHCP中繼工作原理DHCPClientDHCPServer網(wǎng)絡(luò)1網(wǎng)絡(luò)2DHCP播送報文DHCPRelayDHCP單播報文

DHCP播送報文DHCP單播報文

信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系41網(wǎng)絡(luò)互聯(lián)與路由5.3.7DHCP效勞器配置DHCP效勞器根本配置使能DHCP[Router]dhcpenable創(chuàng)立DHCP地址池[Router]dhcpserverip-poolpool-name配置動態(tài)分配的IP地址范圍[Router-dhcppoolname]networknetwork-address[mask-length|maskmask]配置為DHCP客戶端分配的網(wǎng)關(guān)地址[Router-dhcppoolname]gateway-listip-address信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系42網(wǎng)絡(luò)互聯(lián)與路由5.3.7DHCP效勞器配置DHCP效勞器可選配置配置為DHCP客戶端分配的DNS效勞器地址[Router-dhcp-pool-0]dns-listip-address配置DHCP地址池中不參與自動分配的IP地址[Router]dhcpserverforbidden-iplow-ip-address[high-ip-address]配置動態(tài)分配的IP地址的租用有效期限[Router-dhcp-pool-0]expired{dayday[hourhour[minuteminute]]|unlimited}信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系43網(wǎng)絡(luò)互聯(lián)與路由5.3.7DHCP效勞器配置DHCPClientDHCPServerInternetDHCP效勞器根本配置例如[Router]dhcpenable[Router]dhcpserverforbidden-ip[Router]dhcpserverip-pool0[Router-dhcp-pool-0]dns[Router-dhcp-pool-0]expiredday5信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系44網(wǎng)絡(luò)互聯(lián)與路由5.3.8DHCP效勞器顯示及維護(hù)顯示DHCP地址池的在用地址信息[Router]displaydhcpserverip-in-use顯示DHCP效勞器的統(tǒng)計信息[Router]displaydhcpserverstatistics顯示DHCP地址池中可用IP范圍[Router]displaydhcpserverexpired信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系45網(wǎng)絡(luò)互聯(lián)與路由5.3.9DHCP中繼根本配置DHCP中繼的配置配置接口DHCP效勞器中繼地址[Router-Ethernet1/1]iprelay-addressdhcp_server_IPDHCP中繼的檢查顯示relay信息[Router]displayiprelayprotocol顯示DHCP接口幫助地址[Router]displayiprelay-address[Router-Ethernet0]displayiprelay-address**Ethernet0RelayAddress**信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系46網(wǎng)絡(luò)互聯(lián)與路由5.3.9DHCP中繼根本配置[Router]interfaceethernet1/1[Router-Ethernet1/1]iprelay-address0DHCPClientDHCPServerDHCPRelayE1/1DHCP中繼配置例如信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系47網(wǎng)絡(luò)互聯(lián)與路由5網(wǎng)絡(luò)地址管理及平安技術(shù)5.1網(wǎng)絡(luò)平安及防火墻技術(shù)簡介5.2ACL技術(shù)簡介及配置5.3DHCP技術(shù)簡介及配置5.4NAT技術(shù)簡介及配置5.5其它技術(shù)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系48網(wǎng)絡(luò)互聯(lián)與路由5.4.1地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。一個局域網(wǎng)內(nèi)部有很多臺主機(jī)，可是不能保證每臺主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時是一種有效的網(wǎng)絡(luò)平安保護(hù)技術(shù)。同時地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet效勞。信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系49網(wǎng)絡(luò)互聯(lián)與路由5.4.1地址轉(zhuǎn)換的提出背景InternetLAN1LAN2LAN3私有地址范圍：-55-55-55私有地址和公有地址信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系50網(wǎng)絡(luò)互聯(lián)與路由5.4.2地址轉(zhuǎn)換的原理Internet局域網(wǎng)PC2PC1Port:3000IP報文Port:4000Port:3010Port:4001地址轉(zhuǎn)換信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系51網(wǎng)絡(luò)互聯(lián)與路由5.4.3利用ACL控制地址轉(zhuǎn)換可以使用訪問控制列表來決定那些主機(jī)可以訪問Internet，那些不能。Internet局域網(wǎng)PC2PC1設(shè)置訪問控制列表控制pc1可以通過地址轉(zhuǎn)換訪問Internet,而pc2那么不行。信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系52網(wǎng)絡(luò)互聯(lián)與路由5.4.4NAT轉(zhuǎn)換方式EasyIP在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。Internet局域網(wǎng)PC2PC1PC1和PC2可以直接使用S0接口的IP地址作為地址轉(zhuǎn)換后的公用IP地址信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系53網(wǎng)絡(luò)互聯(lián)與路由5.4.5NAT轉(zhuǎn)換方式使用地址池進(jìn)行地址轉(zhuǎn)換地址池用來動態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合，利用不超過32字節(jié)的字符串標(biāo)識。地址池可以支持更多的局域網(wǎng)用戶同時上Internet。Internet局域網(wǎng)PC2PC1地址池信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系54網(wǎng)絡(luò)互聯(lián)與路由5.4.5內(nèi)部效勞器的應(yīng)用Internet內(nèi)部效勞器外部用戶E0Serial0內(nèi)部地址內(nèi)部端口:80外部地址外部端口:80配置地址轉(zhuǎn)換:IP地址:端口:80←→80允許外部用戶訪問內(nèi)部服務(wù)器信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系55網(wǎng)絡(luò)互聯(lián)與路由5.4.6NAT〔內(nèi)網(wǎng)－外網(wǎng)〕實現(xiàn)流程Internet內(nèi)部網(wǎng)絡(luò)NAT路由器公用地址池公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口10011044DP:21,SP:1001DP:21,SP:1044DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址轉(zhuǎn)換表項12345DP:1044,SP:21信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系56網(wǎng)絡(luò)互聯(lián)與路由5.4.7NAT〔外網(wǎng)－內(nèi)網(wǎng)〕實現(xiàn)流程公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口2121Internet內(nèi)部網(wǎng)絡(luò)NAT路由器公用地址池DP:21,SP:1044DP:1044,SP:21DP:1044,SP:21路由器查找地址轉(zhuǎn)換表并實施地址轉(zhuǎn)換路由器查找地址轉(zhuǎn)換表并實施地址轉(zhuǎn)換12345FTP客戶FTP效勞器靜態(tài)配置地址轉(zhuǎn)換表項DP:21,SP:1044信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系57網(wǎng)絡(luò)互聯(lián)與路由5.4.8NAT配置命令定義NAT的地址池〔系統(tǒng)視圖〕nataddress-groupstart-addrend-addrpool-name設(shè)置訪問控制列表與出站接口關(guān)聯(lián)(接口視圖)natoutboundacl-numberinterface設(shè)置訪問控制列表與地址池相互關(guān)聯(lián)(接口視圖)natoutboundacl-numberaddress-grouppool-name配置內(nèi)部網(wǎng)絡(luò)可以提供給外部使用的效勞natserverglobalglobal-addr{global-port|any|domain|ftp|pop2|pop3|smtp|telnet|www}insideinside-addr{inside-port|any|domain|ftp|pop2|pop3|smtp|telnet|www}{protocol-number|ip|icmp|tcp|udp}5.4.9地址轉(zhuǎn)換配置舉例-1EasyNAT的配置信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系58網(wǎng)絡(luò)互聯(lián)與路由[Quidway]aclnumber2000[Quidway-acl-basic-2000][Quidway-acl-basic-2000]ruledeny[Quidway]interfaceEthernet0/1[Quidway-Ethernet0/1]ip[Quidway]interfaceEthernet0/0[Quidway-Ethernet0/1]ip[Quidway-Ethernet0/1]natoutbound2000interface[Quidway]iproute-staticpreference605.4.9地址轉(zhuǎn)換配置舉例-2基于地址池的NAT信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系59網(wǎng)絡(luò)互聯(lián)與路由[Quidway]aclnumber2000[Quidway-acl-basic-2000]ruledeny[Quidway]nataddress-grouphw-test[Quidway]interfaceEthernet0/1[Quidway-Ethernet0/1]ip[Quidway]interfaceEthernet0/0[Quidway-Ethernet0/1]ip[Quidway-Ethernet0/1]natoutbound2000address-grouphw-test[Quidway]iproute-staticpreference605.4.9地址轉(zhuǎn)換配置舉例-3對外提供ftp，www等效勞以www效勞為例,除了前面例子中的配置,公網(wǎng)接口需要增加如下配置:

[Quidway-Ethernet0/0]natserverglobalwwwinsidewwwtcp注意:如果需要其他用戶可以ping通內(nèi)部對外提供效勞的效勞器,必須增加如下配置:[Quidway-Ethernet1]natserverglobalanyinsideanyicmp

注意:內(nèi)部用戶不能使用公網(wǎng)地址來訪問內(nèi)部效勞器,必須使用內(nèi)網(wǎng)地址訪問.信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系60網(wǎng)絡(luò)互聯(lián)與路由信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系61網(wǎng)絡(luò)互聯(lián)與路由5.4.9地址轉(zhuǎn)換配置舉例-4InternetFTP效勞器WWW效勞器1WWW效勞器2內(nèi)部PCS0外部PC內(nèi)部PCSNMP效勞器信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系62網(wǎng)絡(luò)互聯(lián)與路由5.4.9地址轉(zhuǎn)換配置舉例-4[Quidway]nataddress-group0103pool1[Quidway]acl1

[Quidway-acl-1][Quidway-acl-1]ruledenysourceany[Quidway-acl-1]intserial0[Quidway-Serial0]natoutbound1address-grouppool1

[Quidway-Serial0]natserverglobal01ftpinsideftptcp[Quidway-Serial0]natserverglobal02wwwinsidewwwtcp[Quidway-Serial0]natserverglobal028080insidewwwtcp[Quidway-Serial0]natserverglobal03snmpinsidesmtpudp討論SOHO路由器的根本實現(xiàn)雙廣域網(wǎng)口路由器的使用場合、實現(xiàn)及配置信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系64網(wǎng)絡(luò)互聯(lián)與路由5網(wǎng)絡(luò)地址管理及平安技術(shù)5.1網(wǎng)絡(luò)平安及防火墻技術(shù)簡介5.2ACL技術(shù)簡介及配置5.3DHCP技術(shù)簡介及配置5.4NAT技術(shù)簡介及配置5.5其它技術(shù)FTPIPv6信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系65網(wǎng)絡(luò)互聯(lián)與路由FTP協(xié)議簡介FTP協(xié)議是互聯(lián)網(wǎng)上廣泛使用的文件傳輸協(xié)議客戶端/效勞器模式，基于TCPFTP采用雙TCP連接方式控制連接使用TCP端口號21數(shù)據(jù)連接使用TCP端口號20FTP有兩種文件傳輸模式ASCII二進(jìn)制FTP采用兩種數(shù)據(jù)傳輸方式主動方式被動方式信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系66網(wǎng)絡(luò)互聯(lián)與路由FTP雙TCP連接方式控制連接用于在FTP客戶端和FTP效勞器之間傳輸FTP控制命令及命令執(zhí)行信息。控制連接在整個FTP會話期間一直保持翻開數(shù)據(jù)連接用于傳輸數(shù)據(jù)，包括數(shù)據(jù)上傳、下載、文件列表發(fā)送等。數(shù)據(jù)傳輸結(jié)束后數(shù)據(jù)連接將終止FTP控制連接進(jìn)程21FTP客戶端FTP效勞器FTP數(shù)據(jù)連接進(jìn)程FTP控制連接進(jìn)程FTP數(shù)據(jù)連接進(jìn)程20信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系67網(wǎng)絡(luò)互聯(lián)與路由FTP文件傳輸模式ASCII模式是默認(rèn)的文件傳輸模式，主要特點是:本地文件轉(zhuǎn)換成標(biāo)準(zhǔn)的ASCII碼再傳輸適用于傳輸文本文件二進(jìn)制流模式也稱為圖像文件傳輸模式，主要特點是：文件按照比特流的方式進(jìn)行傳輸適用于傳送程序文件信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系68網(wǎng)絡(luò)互聯(lián)與路由FTP數(shù)據(jù)傳輸方式主動方式主動方式也稱為PORT方式，是FTP協(xié)議最初定義的數(shù)據(jù)傳輸連接方式，主要特點是:FTP客戶端通過向FTP效勞器發(fā)送PORT命令，告訴效勞器該客戶端用于傳輸數(shù)據(jù)的臨時端口號當(dāng)需要傳送數(shù)據(jù)時，效勞器通過TCP端口號20與客戶端的臨時端口建立數(shù)據(jù)傳輸通道，完成數(shù)據(jù)傳輸在建立數(shù)據(jù)連接的過程中，由效勞器主動發(fā)起連接，因此被稱為主動方式信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系69網(wǎng)絡(luò)互聯(lián)與路由主動方式建立連接過程FTP客戶端控制連接FTP效勞器控制連接1117421TCP三次握手建立控制通道的TCP連接FTP客戶端控制連接FTP效勞器控制連接2117421客戶端用PORT命令通告用于數(shù)據(jù)傳輸?shù)呐R時端口號〔13*256+238=3566〕PORT(192,168,0,1,13,238)交互過程FTP客戶端數(shù)據(jù)連接FTP效勞器數(shù)據(jù)連接3356620TCP三次握手建立數(shù)據(jù)通道的TCP連接FTP客戶端數(shù)據(jù)連接FTP效勞器數(shù)據(jù)連接4356620雙方進(jìn)行數(shù)據(jù)傳輸。傳輸完畢后發(fā)送數(shù)據(jù)的一方主動關(guān)閉數(shù)據(jù)連接數(shù)據(jù)傳輸關(guān)閉數(shù)據(jù)連接信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系70網(wǎng)絡(luò)互聯(lián)與路由FTP數(shù)據(jù)傳輸方式被動方式被動方式也稱為PASV方式，被動方式的主要特點是:FTP客戶端通過向FTP效勞器發(fā)送PASV命令，告訴效勞器進(jìn)入被動方式。效勞器選擇臨時端口號并告知客戶端當(dāng)需要傳送數(shù)據(jù)時，客戶端主動與效勞器的臨時端口號建立數(shù)據(jù)傳輸通道，完成數(shù)據(jù)傳輸在整個過程中，由于效勞器總是被動接收客戶端的數(shù)據(jù)連接，因此被稱為被動方式信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系71網(wǎng)絡(luò)互聯(lián)與路由被動方式建立連接過程FTP客戶端控制連接FTP效勞器控制連接1117421TCP三次握手建立控制通道的TCP連接FTP客戶端控制連接FTP效勞器控制連接2117421效勞器對PASV命令回應(yīng)，其中包含用于數(shù)據(jù)傳輸?shù)呐R時端口號(20*256+245=5365〕PASV交互過程FTP客戶端數(shù)據(jù)連接FTP效勞器數(shù)據(jù)連接337895365客戶端隨機(jī)選擇端口與效勞器端選定的端口建立數(shù)據(jù)通道的TCP連接FTP客戶端數(shù)據(jù)連接FTP效勞器數(shù)據(jù)連接437895365進(jìn)行數(shù)據(jù)傳輸，傳輸完畢后發(fā)送數(shù)據(jù)的一方主動關(guān)閉數(shù)據(jù)連接數(shù)據(jù)傳輸關(guān)閉數(shù)據(jù)連接EnterPassiveMode(192,168,0,10,20,245)信息科學(xué)與工程學(xué)院網(wǎng)絡(luò)工程系72網(wǎng)絡(luò)互聯(lián)與路由TFTP協(xié)議介紹TFTP〔簡單文件傳輸協(xié)議〕也是采用客戶機(jī)/效勞器模式的文件傳輸協(xié)議TFTP適用于客戶端和效勞器之間不需要復(fù)雜交互的環(huán)境TFTP承載在UDP之上，端口號69TFTP僅提供簡單的文件傳輸功能〔上傳、下載〕TFTP沒有存取授權(quán)與