【正文】 定協(xié)議和TCP/UDP端口號實(shí)現(xiàn)更精確的過濾。端口號為著名的TCP/IP端口號，表310列出了一些最常用的端口號。表310 TCP/UDP端口號著名端口號（十進(jìn)制）IP協(xié)議20文件傳輸協(xié)議（FTP）數(shù)據(jù)21FTP程序23Telnet25簡單郵件傳輸協(xié)議（SMTP）69簡易文件傳輸協(xié)議（TFTP）53域名系統(tǒng)（DNS）80超文本標(biāo)記語言（WWW）配置：本網(wǎng)絡(luò)系統(tǒng)中南崗路由器上配置標(biāo)準(zhǔn)ACL和擴(kuò)展ACL（見圖32），具體配置如下。動力路由器上訪問控制列表的配置詳見附錄3。通過配置訪問控制列表，對南崗、動力路由器的數(shù)據(jù)流進(jìn)行控制，過濾掉有害信息，保障了南崗、動力區(qū)子網(wǎng)的安全性，起到了防火墻的作用。在全局（Global）配置模式下,定義擴(kuò)展的IP訪問控制列表。表311列出了擴(kuò)展訪問列表的指令語法。表311 擴(kuò)展的IP訪問控制列表指令功 能命 令定義擴(kuò)展的IP訪問控制列表Accesslist accesslistnumber {deny/permit}protocol sourceaddress [sourcewildcard] destinationaddress [destinationwildcard] [operator port]在端口配置模式下，調(diào)用IP訪問控制列表ip accessgroup accesslistnumber {in|out} 注釋：icmptype 的編碼范圍是0—255ICMP是一種網(wǎng)絡(luò)層協(xié)議，無源端口或目的端口Accesslistnumber 指定該條目屬于哪個訪問列表，標(biāo)準(zhǔn)訪問控制列表其取值范圍為1——99，擴(kuò)展訪問控制列表其取值范圍為100——199；Deny /permit 指定允許還是禁止來自指定地址的數(shù)據(jù)流通過；Wildcard mask 指定地址中的哪些位必須匹配，（所有位都必須匹配）；Protocol可以是IP、TCP、UDP、ICMP；Source 和destination指定源IP地址和目標(biāo)IP地址；sourcewildcard 和destinationwildcard 是通配符掩碼，0表示相應(yīng)的地址位必須匹配，1表示相應(yīng)的地址位無關(guān)緊要；operator 指定邏輯操作。選項(xiàng)可是eq（等于）、neq（不等于）、gt（大于）、lt（小于）和range。port指明被匹配的應(yīng)用層端口號；in/out指定將訪問列表用作入站過濾器還是出站過濾器，則默認(rèn)為out；Nan gang (config) accesslist 1 deny //標(biāo)準(zhǔn)訪問控制列表，禁止松北網(wǎng)段的主機(jī)訪問南崗子網(wǎng)的信息Nan gang (config) accesslist 1 deny Nan gang (config) accesslist 1 deny //拒絕來自香坊主機(jī)D的數(shù)據(jù)流通過Nan gang (config) accesslist 1 deny //Nan gang (config) accesslist 1 permit host //允許道里網(wǎng)絡(luò)管理員的主機(jī)遠(yuǎn)程登陸到南崗路由器上Nan gang (config) accesslist 1 permit any Nan gang (config) accesslist 120 ip deny host //配置擴(kuò)展的訪問控制列表；Nan gang (config) accesslist 120 ip deny //Nan gang (config) accesslist 120 permit any anyNan gang (config) accesslist 130 deny tcp any host eq snmp //拒絕來自任意源點(diǎn)，（SNMP）的TCP報(bào)文通過Nan gang (config) accesslist 130 deny udp host eq 69 //（TFTP）的UDP報(bào)文通過。Nan gang (config) accesslist 130 deny udp any host eq 53 //（域名服務(wù)器）的UDP報(bào)文通過Nan gang (config) accesslist 130 deny icmp any 3 9 //，其中代碼為9Nan gang (config) accesslist 130 deny icmp any 3 10 //代碼為10Nan gang (config) accesslist 130 permit ip any any //允許所有其他IP報(bào)文通過!Nan gang (config) int e1Nan gang (configif) ip accessgroup 1 in //將控制列表加到端口e1上Nan gang (configif) ip accessgroup 120 in Nan gang (configif) ip accessgroup 130 in Nan gang (config) line vty 0 4 //切換到線路配置模式Nan gang (configline) login //使配置生效Nan gang (configline) pass 123 //設(shè)置遠(yuǎn)程登陸密碼為123Nan gang (configline) accessclass 1 in //禁止主機(jī)B以Telnet方式訪問路由器Nan gang (configline) exit 監(jiān)控并調(diào)試訪問控制列表指令如下：show ip interface interfacetype interfacenumber 顯示指定接口的接口信息,并指出在該接口上是否配置了訪問控制列表。 show {protocol}accesslists {accesslistnumber/name} 顯示訪問列表的內(nèi)容show ip accesslists 顯示所有IP訪問列表的內(nèi)容。show runningconfig 顯示訪問列表和哪些接口設(shè)置了訪問列表。10. 虛擬鏈路在網(wǎng)絡(luò)中區(qū)域3沒有到主干區(qū)域（area 0）的直接物理連接，但是主干區(qū)域是LSA的集合點(diǎn)，這又是OSPF所必需的。ABR將匯總LSA轉(zhuǎn)發(fā)到主干區(qū)域，然后由主干區(qū)域轉(zhuǎn)發(fā)給所有其他區(qū)域。所有域間數(shù)據(jù)流都經(jīng)過主干區(qū)域轉(zhuǎn)發(fā)。要提供到主干區(qū)域的連接，必須在Router4和Router1路由器之間配置一條虛擬鏈路。虛擬鏈路還可以作為備份鏈路，本設(shè)計(jì)在Router1和Router3路由器之間建立一條虛擬鏈路，作為備份鏈路，如圖36。　 虛擬鏈路的配置命令如下:　　Router (configrouter)area [areaid] virtuallink [RID] 注釋：areaid虛擬鏈路所在過渡區(qū)域的ID；routerid對端的鄰居路由器ID。具體配置如下：Router1 (configrouter) area 1 virtuallink Router1 (configrouter) area 3 virtuallink Router3 和Router4上的配置詳見附錄3圖36 虛擬鏈路和網(wǎng)絡(luò)地址轉(zhuǎn)換拓?fù)鋱DNAT(Network Address Translation)的功能，就是指在一個網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時，路由器負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進(jìn)行通信[10]。關(guān)于NAT的幾個概念：內(nèi)部本地地址：分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)地址內(nèi)部全局地址：由NIC或服務(wù)提供商分配的合法IP地址，向外部世界表示一個或多個內(nèi)部本地IP地址。外部本地地址：在內(nèi)部網(wǎng)絡(luò)中看到的外部主機(jī)的IP地址，可以不是合法的地址，來自在內(nèi)部可路由的地址空間。外部全局地址：外部主機(jī)的IP地址，來自全局可路由的地址（網(wǎng)絡(luò)）空間中。NAT的設(shè)置方法：當(dāng)建立內(nèi)部網(wǎng)的時候,建議使用以下地址組用于主機(jī),這些地址是由Network Working Group(RFC 1918)保留用于私有網(wǎng)絡(luò)地址分配的.Class A: to Class B: to Class C: to 圖37為NAT轉(zhuǎn)換示意圖：圖37網(wǎng)絡(luò)地址轉(zhuǎn)換示意圖NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。 靜態(tài)地址轉(zhuǎn)換適用的環(huán)境：靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有Email服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。 表312列出了三種網(wǎng)絡(luò)地址轉(zhuǎn)換所需要的指令。表312 NAT 的配置命令命令配置模式及功能ip nat inside/outside 接口子命令 定義內(nèi)部接口和外部接口ip nat inside source static localip globalip全局配置模式，配置靜態(tài)NAT命令ip nat pool name startip endip {netmask netmask /prefixlength prefixlength }全局設(shè)置模式，定義動態(tài)NAT地址池accesslist accesslistnumber permit source [source wildcard]全局設(shè)置模式，定義一個標(biāo)準(zhǔn)accesslist規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換:ip nat inside source list accesslistnumber pool name全局設(shè)置模式，將由accesslist指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換: ip nat inside source list accesslistnumber interface interface overload全局設(shè)置模式，設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換適用的環(huán)境： 動態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。復(fù)用動態(tài)地址轉(zhuǎn)換適用的環(huán)境： 復(fù)用動態(tài)地址轉(zhuǎn)換（PAT）首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。只申請到少量IP地址但卻經(jīng)常同時有多于合法地址個數(shù)的用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。配置：如圖36，在路由器RouterRouterRouter3上分別配置了靜態(tài)NAT、動態(tài)NAT和復(fù)用動態(tài)地址轉(zhuǎn)換。具體配置詳見附錄3。Router1上配置靜態(tài)NAT如下：Router1 config t //進(jìn)入全局配置模式Router1 (config) interface ethernet 0 //進(jìn)入端口配置模式Router1 (configif) ip address //設(shè)置IP地址及掩碼 Router1 (configif) ip nat inside //將該接口指定為內(nèi)部接口Router1 (configif) no shutdown //開啟端口Router1 (config) interface serial 2 Router1 (configif) ip address Router1 (configif) ip nat outside //將該接口指定為外部接口Router1 (configif) no shutdown Router1 (config) ip nat inside source static //在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換Router1 (config) ip nat inside source static Router2上配置動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換,如下：Router2 config tRouter2 (config) interface ethernet 0Router2 (configif) ip address Router2 (configif) ip nat inside Router2 (configif) no shutdown Router2 (config) interface ethernet 1Router2 (configif) ip address Router2 (configif) ip nat outside Router2 (configif) no shutdown Router2 (config) ip nat pool fred //定義內(nèi)部合法地址池。Router2 (config) accesslist 3 permit //允許哪些地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換Router2 (config) ip nat inside source list 3 pool fred //將由accesslist指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換Router3上配置動態(tài)網(wǎng)