【正文】 2(config) accesslist 2 permit ? Router2(config) line vty 0 4 ? Router2(configline) accessclass 2 in ? accessclass與 accessgroup的區(qū)別： ?accessclass是控制路由器發(fā)起的 tel會話，不進行包過濾； accessclass用在 vty線路下。 ?accessgroup是控制接口上進出的數(shù)據包流量； ip accessgroup用在接口下。 例 57 如圖 545所示，如果 A網段主機不能使用 FTP服務器，應該怎么配置參考擴展 ACL？ 例 57 參考擴展 ACL配置如下： ? ！配置擴展 ACL ? Router3(config)accesslist 101 deny tcp eq ftp ? !禁止規(guī)定網段對服務器的 ftp訪問 ? Router3(config)accesslist 101 permit ip any any !允許其他流量通過 ? ！將 ACL應用在相應的接口 ? Router3(config)interface fastEther 0 ? Router3(configif)ip accessgroup 101 in 注意事項 ? 標準訪問控制列表要應用在靠近目標端 因為標準訪問控制列表只能對數(shù)據包的源 IP地址進行控制。例 55中，若把訪問控制列表用在 fo端口的 in方向，銷售部不能訪問財務部了，但同時銷售部也不能訪問經理部了。 ? 擴展訪問控制列表盡量用在靠近源端 例 57中擴展訪問控制列表如果用在 f2端口的 out方向也是可以發(fā)揮作用的，但是一般應用在 f0端口的 in端，因為既然不允許的數(shù)據包早晚都會被丟棄，晚丟棄不如早丟棄，早丟棄還以節(jié)省中間鏈路的帶寬。 ? 訪問控制列表只對穿越路由器的數(shù)據包進行過濾，不對本路由器發(fā)起的數(shù)據包進行過濾。 ACL的應用和刪除 ? no ip accesslist accesslistnumber ！刪除 ACL ? Router(configif)ip accessgroup accesslistnumber {in|out} ！ 在端口上應用 ACL，指明進或出方向，缺省為出方向。 ? 注：所有 ACL只有應用到接口上才能起作用 ? no ip accessgroup accesslistnumber ！在端口上刪除 ACL。 網絡地址轉換 1． NAT的概念 1）為什么需要 NAT 私有 IP地址只能用于內部尋址，而不能用于訪問外部資源，使用網絡地址轉換（ Network Address Translate， NAT）技術可以將多個內部地址映射成少數(shù)幾個甚至一個合法的公網 IP地址，讓內部網絡中使用私有 IP地址的設備通過“偽 IP”訪問 Inter等外部資源。 NAT技術不僅很好地解決 IPv4地址枯竭的問題，而且也給網絡帶來了一定的安全保障。 2） NAT的工作原理 NAT是一種把內部私有網絡地址翻譯成合法網絡地址的技術。簡單地說， NAT就是在局域網內部使用私有 IP地址，當需要與外部網絡進行通訊時，就在網關處將內部地址替換成公用地址。通過使用 NAT技術，可以只申請一個合法 IP地址，就把整個局域網中的計算機接入 Inter中。這時， NAT屏蔽了內部網絡，所有內網資源對于公共網絡來說是不可見的，而內部用戶通常也不會意識到 NAT的存在。 NAT 功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的 NAT設備中。網絡管理員只需在路由器的 IOS中設置 NAT功能，就可以實現(xiàn)對內部網絡的屏蔽。另外對小型企業(yè)來說，通過軟件也可以實現(xiàn)這一功能。如 Windows 2023 Serve接入服務中也包含了這一功能。 3） NAT的特點 （ 1）將內部網絡連接到 Inter。 NAT可以用少數(shù)幾個甚至一個合法的 IP地址映射多個內部主機地址，這樣就可大大減緩合法 IP地址的耗盡。而且 NAT修改了數(shù)據包的源地址，由于外部設備看不到內部設備的地址，因此網絡的安全性也得到了一定的保障。 （ 2）當變更 ISP時，雖然 ISP分配給用戶的地址變了，但是用戶仍無需改變內部設備的地址，只需在 NAT路由器上做出相應的修改就可以輕松完成網絡的升級，并且 NAT在網絡合并方面也有著很大的應用場合。 （ 3）支持 TCP負載均衡。通過使用 NAT，可以把內部的幾臺服務器捆綁成一臺虛擬服務器，這些服務器在外部設備看來只是一臺服務器。當流量進入內部網絡時， NAT可以在這幾臺服務器之間自動進行分流，這樣就增加了網絡的可靠性。 4） NAT功能存在的不足 雖然 NAT為網絡帶來了不少好處，但是 NAT也存在一些不足，主要表現(xiàn)為： （ 1） NAT路由器必須保持對每個連接狀態(tài)的記錄。對于每次翻譯的流量， NAT都必須記住其轉換的地址和端口，所以當NAT設備出現(xiàn)故障或 NAT鄰近的鏈路出現(xiàn)故障時，路由難以快速收斂。 NAT也會耗盡大量的 CPU和內存資源，它影響了網絡的性能和數(shù)據包的處理，大大增加了網絡的延時，這對于部分網絡應用程序也是不可接受的。 （ 2）在進行一些網絡安全的設計和實施時，一些加密方法必須對 IP包頭的完整性進行校驗，這樣就要求包頭在從源到目的地址之間傳輸時不能被改變。任何在路途中對包頭部分的轉換都會破壞完整性檢查，而 NAT重寫了第三層包頭信息，因此很難實現(xiàn) IP包頭的完整性。因此，在做 IPSec VPN時，IPSec不能對 NAT流量實施端到端的安全保護。 （ 3） NAT只能支持有限的程序， NAT支持的 IP業(yè)務和應用有HTTP、 TFTP、 Tel、 NTP、 NFS、 RCP、 RSH、 ACHIE、FTP、 ICMP、 DNS等。 NAT不支持的 IP業(yè)務和應用有 BOOTP、SNMP、 NETSHOW等，特別是各種動態(tài)路由協(xié)議的路由表更新和 DNS數(shù)據庫的相互更新。 2． NAT的類型 NAT有靜態(tài) NAT(Static NAT)、動態(tài)地址 NAT(Pooled NAT)、端口地址轉換 PAT（ Port Address Translation）三種類型。 ? （ 1）靜態(tài)轉換是指將內部網絡的私有 IP地址轉換為公有 IP地址，IP地址對是一對一的，是一成不變的，某個私有 IP地址只轉換為某個公有 IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網絡對內部網絡中某些特定設備的訪問。 ? （ 2）動態(tài)轉換是指將內部網絡的私有 IP地址轉換為公用 IP地址時， IP地址是不確定的，是隨機的，所有被授權訪問Inter的私有 IP地址可隨機轉換為任何指定的合法 IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當 ISP提供的合法 IP地址略少于網絡內部的計算機數(shù)量時，可以采用動態(tài)轉換的方式。 ? （ 3）端口地址轉換是指改變外出數(shù)據包的源端口并進行端口轉換。采用端口多路復用方式，內部網絡的所有主機均可共享一個合法外部 IP地址實現(xiàn)對 Inter的訪問，從而可以最大限度地節(jié)約 IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自 Inter的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。 靜態(tài) NAT的配置 靜態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下指定接口為內部端口。 ? ip nat inside ? （ 2）在端口配置模式下指定接口為外部端口。 ? ip nat outside ? （ 3）在全局配置模式下，在內部本地地址與內部全局地址之間建立靜態(tài)地址轉換。 ? ip nat inside source static insidelocaladdress insideglobaladdress ? 其中參數(shù) insidelocaladdress指定內部本地地址； insideglobaladdress指定內部全局地址。 ? 例 58 實現(xiàn)靜態(tài) NAT地址轉換功能。將 f0/0作為內部端口， s0/0作為外部端口，其中 ， 部本地地址采用靜態(tài)地址轉換，其內部合法地址分別對應 ， 。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip route S0/0 動態(tài) NAT的配置 動態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下，指定接口為內部端口。 ? ip nat inside ? （ 2）在端口配置模式下，指定接口為外部端口。 ? ip nat outside ? （ 3）全局配置模式下定義地址池來表示可用公有 IP地址范圍 ? ip nat pool 地址池名字 起始 IP 終止 IP {mask 掩碼|preficlength 網絡號長度 } ? （ 4）全局配置模式下定義 accesslist表示私有 IP地址范圍 ? accesslist accesslist permit source sourcewildcard ? （ 5）在全局配置模式下，在內部的本地址與內部的全局地址之間復用動態(tài)地址轉換。 ? ip nat inside source list{accesslistnumber|name}pool name ? 例 59 實現(xiàn)動態(tài) NAT地址轉換功能。將 f0/0作為內部端口，其地址為 ， s0/0作為外部端口，其地址為；其中 ~，其內部地址為 。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat pool p1 prefixlength 24 ? RouterA（ config） accesslist 1 permit ? RouterA（ config） ip nat inside source list 1 pool p1 ? RouterA（ config） ip route s0/0 PAT的配置 PAT的配置與 NAT的配置的唯一區(qū)別是：地址轉換時PAT要在命令末尾加上“ overload”，表示允許多個內部本地地址使用同一個內部全局地址。 例 510與例 59的區(qū)別在于： 1. 例 510要分別定義 4個地址池 2. 例 510要分別定義 4個 accesslist 3. 例 510要對 4組私有地址和公有地址分別進行轉換，且公有部門的地址轉換命令后要加上“ overload” 基于 NAT的 TCP負載均衡的配置 ? NAT翻譯都是從內到外的翻譯，即對內部主機發(fā)送的數(shù)據包的源地址進行翻譯。而 NAT在 TCP負載均衡上的應用是對外部發(fā)往內部的數(shù)據包的目標地址進行翻譯。 ? 例如內部服務器 、 組成一個服務器組，它們共同虛擬成一臺虛擬服務器 ，當外部主機對虛擬服務器 行訪問時， NAT路由器將 TCP會話輪流分配給這個服務器中的成員， NAT以循環(huán)的方式將外部發(fā)來的連接的目標地址輪流地翻譯成 3臺服務器的實際內部地址，由 3臺服務共同處理外部主機的通信。 配置方法 ? ①在端口配置模式下指定接口為內部端口。 ip nat inside ? ② 在端口配置模式下指定接口為外部端口。 ip nat outside ? ③ 在全局配置模式下定義地址池來表示內部各服務器的 IP地址范圍 ? ip nat pool name startip endip{mask mask|prefixlength prefixlength