企業(yè)網(wǎng)絡(luò)規(guī)劃與實施 課件 第11、12章 訪問控制列表、網(wǎng)絡(luò)地址轉(zhuǎn)換

第11章訪問控制列表11.1ACL的原理11.2ACL的配置11.3ACL的綜合應(yīng)用本章小結(jié)

11.1ACL的原理

1.?ACL訪問控制列表(AccessControlList，ACL)是應(yīng)用在設(shè)備接口的指令列表(即規(guī)則)，如圖11.1所示，在路由器接口上配置了ACL，可以實現(xiàn)禁止主機PC1訪問服務(wù)器Server，允許主機PC2訪問服務(wù)器Server。

圖11.1ACL(1)

那么ACL如何進行訪問控制呢？通常來說，我們常用的ACL讀取的是網(wǎng)絡(luò)層、傳輸層的報文頭信息，其中包括源IP地址、目標(biāo)IP地址、源端口號、目標(biāo)端口號，ACL會根據(jù)預(yù)先定義好的規(guī)則對報文進行過濾，如圖11.2所示。

圖11.2ACL(2)

2.?ACL的類型

ACL有很多類型，本章只介紹最常用的基本ACL和高級ACL。

(1)基本ACL會根據(jù)源IP地址來過濾數(shù)據(jù)包。

(2)高級ACL會根據(jù)源IP地址、目的IP地址、源端口、目的端口、協(xié)議來過濾數(shù)據(jù)包。

3.?ACL的規(guī)則

每個ACL可以包含多個規(guī)則，路由器根據(jù)規(guī)則對數(shù)據(jù)包進行過濾，如圖11.3所示。

圖11.3ACL規(guī)則

11.2ACL的配置

11.2.1基本ACL的配置1.?創(chuàng)建基本ACL基本ACL基于源IP地址過濾數(shù)據(jù)包，列表號范圍是2000～2999。

2.?將ACL應(yīng)用于接口創(chuàng)建ACL后，只有將ACL應(yīng)用于接口，ACL才會生效。

3.?路由器基本ACL配置案例

如圖11.4所示，使用eNSP搭建實驗環(huán)境，要求禁止PC1(IP地址為)訪問服務(wù)器Server1，允許其他所有的訪問流量。

圖11.4路由器基本ACL配置案例

4.?交換機基本ACL配置案例

如圖11.5所示使用eNSP搭建實驗環(huán)境，要求禁止PC1訪問服務(wù)器Server1，允許其他所有的訪問流量。

圖11.5交換機基本ACL配置案例

11.2.2高級ACL的配置

1.?創(chuàng)建高級ACL

高級ACL基于源IP地址、目的IP地址、源端口、目的端口、協(xié)議來過濾數(shù)據(jù)包，列表號是3000～3999。

2.?將ACL應(yīng)用于接口

與基本ACL一樣，只有將ACL應(yīng)用于接口，ACL才會生效。

3.?高級ACL配置案例

如圖11.6所示，使用eNSP搭建實驗環(huán)境，要求如下：

(1)?允許Client1訪問Server1的Web服務(wù)。

(2)?允許Client1訪問網(wǎng)絡(luò)/24。

(3)?禁止Client1訪問其他網(wǎng)絡(luò)。

圖11.6高級ACL配置案例

測試：首先在Server1搭建Web服務(wù)，如圖11.7所示。圖11.7搭建Web服務(wù)

測試Client1可以訪問Server1的Web服務(wù)，如圖11.8所示。圖11.8訪問測試

11.3ACL的綜合應(yīng)用

如圖11.9所示，公司網(wǎng)絡(luò)建設(shè)規(guī)劃如下：(1)?公司內(nèi)每個部門使用一個VLAN，每個VLAN分配一個C類地址。(2)?使用MSTP實現(xiàn)VLAN負載均衡。(3)?雙核心使用VRRP技術(shù)。

圖11.9項目概述(1)

為了加強公司網(wǎng)絡(luò)的內(nèi)網(wǎng)安全，現(xiàn)在要求對其進行安全規(guī)劃及配置，具體的需求如下：

(1)?網(wǎng)絡(luò)設(shè)備只允許網(wǎng)管區(qū)IP登錄。

(2)?各部門之間全機不能互通，但都可以和網(wǎng)管區(qū)互通。

(3)?財務(wù)部主機不能訪問Internet。

(4)?各部門主機只能訪問服務(wù)器的WWW服務(wù)。

(5)?只有網(wǎng)絡(luò)管理員才能通過遠程桌面來管理服務(wù)器。

因為本章主要介紹ACL的應(yīng)用，所以對該實驗進行簡化，使用eNSP搭建實驗環(huán)境，用路由器代替交換機，用路由器模擬WG主機。如圖11.10所示，要求如下：

(1)?AR1只允許WG主機登錄，WG主機能ping通Server1和Client1。

(2)?YF和CW主機之間不能互通，但都可以和WG互通。

(3)?YF可以訪問Client1。

(4)?CW不能訪問Client1。

(5)?YF和CW只能訪問Server1的WWW服務(wù)。

(6)?只有WG才能訪問Server1的所有服務(wù)。

圖11.10項目概述(2)

(6)?測試。WG能遠程登錄AR1，WG能ping通Server1和Client1。

YF()和CW()之間不能互通，但可以和WG()互通，如圖11.11和圖11.12所示。

圖11.11項目測試(1)

圖11.12項目測試(2)

YF()不能ping通Server1()，如圖11.13所示。圖11.13項目測試(3)

YF()能訪問Server1()的WWW服務(wù)，如圖11.14所示。

圖11.14項目測試(4)

本章小結(jié)

我們常用的ACL讀取的是網(wǎng)絡(luò)層、傳輸層的報文頭信息，包括源IP地址、目標(biāo)IP地址、源端口號、目標(biāo)端口號，根據(jù)預(yù)先定義好的規(guī)則對報文進行過濾，來實現(xiàn)訪問控制?；続CL會根據(jù)源IP地址來過濾數(shù)據(jù)包，列表號范圍是2000～2999。高級ACL會根據(jù)源IP地址、目的IP地址、源端口、目的端口、協(xié)議來過濾數(shù)據(jù)包，列表號范圍是3000～3999。

應(yīng)用在接口的ACL只能通過由濾路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包，而不會通過由路由器始發(fā)的數(shù)據(jù)包。例如，在路由器上使用ping命令發(fā)出的數(shù)據(jù)包等，不會受到接口ACL的控制。

路由器對進入的數(shù)據(jù)包先檢查入方向ACL，對允許傳輸?shù)臄?shù)據(jù)包才查詢路由列表，而對于外出的數(shù)據(jù)包先查詢路由列表，確定目標(biāo)接口后再檢查出方向ACL。因此，應(yīng)該盡量把ACL應(yīng)用到入站接口，可以減少對路由器不必要的資源的占用。第12章網(wǎng)絡(luò)地址轉(zhuǎn)換12.1NAT的原理與配置12.2PAT的原理與配置本章小結(jié)

12.1NAT的原理與配置

12.1.1NAT的原理1.?NATNAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)產(chǎn)生的背景是由于上網(wǎng)需求量巨大，導(dǎo)致IPv4公網(wǎng)地址短缺。如圖12.1所示，內(nèi)部網(wǎng)絡(luò)中的主機可以使用私有地址，共用幾個公網(wǎng)地址，由路由器做地址轉(zhuǎn)換，從而實現(xiàn)上網(wǎng)的需求。

圖12.1NAT(1)

那么路由器如何進行地址轉(zhuǎn)換呢？路由器使用公網(wǎng)地址替換源IP地址，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)出去，如圖12.2所示。圖12.2NAT(2)

當(dāng)數(shù)據(jù)包返回時，路由器又如何處理呢？路由器會記錄一張NAT轉(zhuǎn)換表。為了便于理解，我們看一下簡化的NAT轉(zhuǎn)換表，如表12-1所示。當(dāng)數(shù)據(jù)包返回時，路由器根據(jù)NAT轉(zhuǎn)換表再做處理。

2.?NAT的類型

對于NAT的分類及名稱，各廠商都有不同的標(biāo)準。

NAT分為靜態(tài)NAT和動態(tài)NAT。

1)?靜態(tài)NAT

靜態(tài)NAT實現(xiàn)了私有地址和公網(wǎng)地址的一對一映射，一個公網(wǎng)IP地址只會分配給唯一且固定的內(nèi)網(wǎng)主機。靜態(tài)轉(zhuǎn)換是雙向的，即內(nèi)外網(wǎng)雙方可以互相訪問。

2)?動態(tài)NAT

動態(tài)NAT基于地址池來實現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換，雖然也是一對一映射，但不是固定的，在華為也稱其為BasicNAT。動態(tài)轉(zhuǎn)換是單向的，即只能從內(nèi)網(wǎng)去訪問外網(wǎng)，反之則不能訪問。

12.1.2動態(tài)NAT的配置

如圖12.3所示，使用eNSP搭建實驗環(huán)境，該環(huán)境供本章所有實驗使用。

動態(tài)NAT在實際工作中很少用到，這里通過一個實驗來熟悉其配置，要求將內(nèi)部網(wǎng)絡(luò)地址/24轉(zhuǎn)換為公網(wǎng)地址～0/28來訪問外網(wǎng)，測試PC1能ping通Server3并抓包查看其地址轉(zhuǎn)換過程。

圖12.3動態(tài)NAT配置案例

在路由器G0/0/2接口處抓包，源地址已做轉(zhuǎn)換，如圖12.4所示。圖12.4動態(tài)NAT抓包

此時在Server3上ping不通PC1，說明動態(tài)NAT是單向的，如圖12.5所示。圖12.5動態(tài)NAT的單向測試

動態(tài)NAT的地址轉(zhuǎn)換過程如圖12.6所示。圖12.6動態(tài)NAT地址的轉(zhuǎn)換過程

12.1.3靜態(tài)NAT的配置

使用eNSP搭建實驗環(huán)境，如圖12.7所示。

要求將內(nèi)部IP地址1/24、2/24靜態(tài)轉(zhuǎn)換為外部公有IP地址1/28、2/28，以便其訪問外網(wǎng)(Server3)或被外網(wǎng)(Server3)訪問，然后驗證靜態(tài)NAT是雙向轉(zhuǎn)換的，并且進行抓包分析。

圖12.7靜態(tài)NAT配置案例

查看NAT配置，如圖12.8所示。圖12.8查看NAT配置

(4)?測試：分別在Server1和Server2上可以ping通Server3。

在路由器G0/0/2口抓包，源地址已做轉(zhuǎn)換，如圖12.9所示。

圖12.9靜態(tài)NAT抓包(1)

在交換機Ethernet0/0/3口抓包，目的地址已做轉(zhuǎn)換，如圖12.10所示。圖12.10靜態(tài)NAT抓包(2)

12.2PAT的原理與配置

12.2.1PAT的原理PAT分為動態(tài)PAT和靜態(tài)PAT。1.動態(tài)PAT動態(tài)PAT改變外出數(shù)據(jù)包的源IP地址和源端口并進行端口地址的轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法的外部IP地址來訪問互聯(lián)網(wǎng)，從而最大限度地節(jié)約IP地址資源。與動態(tài)NAT一樣，動態(tài)PAT也是單向的。

動態(tài)PAT包括NAPT和EasyIP，NAPT允許多個內(nèi)部地址映射到同一個公有地址的不同端口；而EasyIP屬于NAPT的一種特例，允許將多個內(nèi)部地址映射到網(wǎng)關(guān)出接口地址上的不同端口，即公有地址直接使用網(wǎng)關(guān)設(shè)備的外網(wǎng)口。

2.靜態(tài)PAT

靜態(tài)PAT改變數(shù)據(jù)包的IP地址和端口號。與靜態(tài)NAT一樣，靜態(tài)PAT也是雙向的。

實際應(yīng)用中一般是將內(nèi)網(wǎng)的服務(wù)器發(fā)布出去，由外網(wǎng)發(fā)起向內(nèi)網(wǎng)的訪問，華為稱之為NATServer。

12.2.2動態(tài)PAT的配置

1.?NAPT的配置案例

如圖12.11所示，公司要求將內(nèi)部網(wǎng)絡(luò)/24轉(zhuǎn)換為一個公網(wǎng)地址0/28來實現(xiàn)上網(wǎng)(即可以訪問Server3)。

圖12.11NAPT配置案例

查看NAPT配置，如圖12.12所示。圖12.12查看NAPT配置

路由器G0/0/2口抓包，可以看到源端口為1320，如圖12.13所示。圖12.13NAPT抓包

總結(jié)NAPT的地址轉(zhuǎn)換過程如圖12.14所示。圖12.14NAPT地址轉(zhuǎn)換過程

2.?EasyIP的配置案例

公司路由器外部接口是動態(tài)IP，如何使內(nèi)部網(wǎng)絡(luò)主機/24利用PAT上網(wǎng)？

公司要求將內(nèi)部網(wǎng)絡(luò)主機/24轉(zhuǎn)換為路由器外部接口來實現(xiàn)上網(wǎng)(即可以訪問Server3)，如圖12.15所示。圖12.15EasyIP配置案例

查看EasyIP配置，如圖12.16所示。圖12.16查看EasyIP配置

在路由器G0/0/2口抓包，可以看到源端口為40，如圖12.17所示。圖12.17EasyIP抓包

12.2.3靜態(tài)PAT的配置

我們介紹實際應(yīng)用比較多的NATServer，即將內(nèi)網(wǎng)的服務(wù)器發(fā)布出去，由外網(wǎng)發(fā)起向內(nèi)網(wǎng)的訪問。

如圖12.18所示，將內(nèi)部地址1/24的80端口靜態(tài)轉(zhuǎn)換為公網(wǎng)地址1/28的80端口，將內(nèi)部地址2/24的21端口靜態(tài)轉(zhuǎn)換為公網(wǎng)地址2/28的21端口，以便被外網(wǎng)(Client2)訪問。圖12.18NATServer配置案例

查看NATServer配置，如圖12.19所示。圖12.19查看NATServer配置

在交換機E0/0/3口抓包，可以看到源端口為2050，如圖12.20所示。圖12.20NATServer抓包

本章小結(jié)

NAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)是改變數(shù)據(jù)包的IP地址，PAT技術(shù)(PortAddressTranslation，端口地址轉(zhuǎn)換)是改變數(shù)據(jù)包的IP地址和端口號，PAT能夠大量節(jié)省公網(wǎng)的IP地址，因此在實際工作中被廣泛應(yīng)用。NAT分為靜態(tài)NAT和動態(tài)NAT(華為稱之為BasicNAT)，PAT分為動態(tài)PAT(包括NAPT和EasyIP)和靜態(tài)PAT(實際應(yīng)用中比較多的是NATServer)。

靜態(tài)NAT實現(xiàn)了私有地址和公網(wǎng)地址的一對一映射，一個公網(wǎng)IP地址只會分配給唯一且固定的內(nèi)網(wǎng)主機。靜態(tài)轉(zhuǎn)換是雙向的，即內(nèi)外網(wǎng)雙方可以互相訪問。

動態(tài)NAT基于地址池來實現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換，雖然也是一對一映射，但不是固定的，動態(tài)轉(zhuǎn)換是單向的，即只能從內(nèi)網(wǎng)去訪問外網(wǎng)，反之則不能訪問。

動態(tài)PAT改變外出數(shù)據(jù)包的源IP地址和源端口并進