【正文】 2(config) accesslist 2 permit ? Router2(config) line vty 0 4 ? Router2(configline) accessclass 2 in ? accessclass與 accessgroup的區(qū)別： ?accessclass是控制路由器發(fā)起的 tel會話，不進行包過濾； accessclass用在 vty線路下。 ?accessgroup是控制接口上進出的數(shù)據(jù)包流量； ip accessgroup用在接口下。 例 57 如圖 545所示，如果 A網(wǎng)段主機不能使用 FTP服務(wù)器，應(yīng)該怎么配置參考擴展 ACL？ 例 57 參考擴展 ACL配置如下： ? ！配置擴展 ACL ? Router3(config)accesslist 101 deny tcp eq ftp ? !禁止規(guī)定網(wǎng)段對服務(wù)器的 ftp訪問 ? Router3(config)accesslist 101 permit ip any any !允許其他流量通過 ? ！將 ACL應(yīng)用在相應(yīng)的接口 ? Router3(config)interface fastEther 0 ? Router3(configif)ip accessgroup 101 in 注意事項 ? 標準訪問控制列表要應(yīng)用在靠近目標端 因為標準訪問控制列表只能對數(shù)據(jù)包的源 IP地址進行控制。例 55中，若把訪問控制列表用在 fo端口的 in方向，銷售部不能訪問財務(wù)部了，但同時銷售部也不能訪問經(jīng)理部了。 ? 擴展訪問控制列表盡量用在靠近源端 例 57中擴展訪問控制列表如果用在 f2端口的 out方向也是可以發(fā)揮作用的，但是一般應(yīng)用在 f0端口的 in端，因為既然不允許的數(shù)據(jù)包早晚都會被丟棄，晚丟棄不如早丟棄，早丟棄還以節(jié)省中間鏈路的帶寬。 ? 訪問控制列表只對穿越路由器的數(shù)據(jù)包進行過濾，不對本路由器發(fā)起的數(shù)據(jù)包進行過濾。 ACL的應(yīng)用和刪除 ? no ip accesslist accesslistnumber ！刪除 ACL ? Router(configif)ip accessgroup accesslistnumber {in|out} ！ 在端口上應(yīng)用 ACL，指明進或出方向，缺省為出方向。 ? 注：所有 ACL只有應(yīng)用到接口上才能起作用 ? no ip accessgroup accesslistnumber ！在端口上刪除 ACL。 網(wǎng)絡(luò)地址轉(zhuǎn)換 1． NAT的概念 1）為什么需要 NAT 私有 IP地址只能用于內(nèi)部尋址，而不能用于訪問外部資源，使用網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translate， NAT）技術(shù)可以將多個內(nèi)部地址映射成少數(shù)幾個甚至一個合法的公網(wǎng) IP地址，讓內(nèi)部網(wǎng)絡(luò)中使用私有 IP地址的設(shè)備通過“偽 IP”訪問 Inter等外部資源。 NAT技術(shù)不僅很好地解決 IPv4地址枯竭的問題，而且也給網(wǎng)絡(luò)帶來了一定的安全保障。 2） NAT的工作原理 NAT是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)地址的技術(shù)。簡單地說， NAT就是在局域網(wǎng)內(nèi)部使用私有 IP地址，當需要與外部網(wǎng)絡(luò)進行通訊時，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址。通過使用 NAT技術(shù)，可以只申請一個合法 IP地址，就把整個局域網(wǎng)中的計算機接入 Inter中。這時， NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)網(wǎng)資源對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部用戶通常也不會意識到 NAT的存在。 NAT 功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的 NAT設(shè)備中。網(wǎng)絡(luò)管理員只需在路由器的 IOS中設(shè)置 NAT功能，就可以實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的屏蔽。另外對小型企業(yè)來說，通過軟件也可以實現(xiàn)這一功能。如 Windows 2023 Serve接入服務(wù)中也包含了這一功能。 3） NAT的特點 （ 1）將內(nèi)部網(wǎng)絡(luò)連接到 Inter。 NAT可以用少數(shù)幾個甚至一個合法的 IP地址映射多個內(nèi)部主機地址，這樣就可大大減緩合法 IP地址的耗盡。而且 NAT修改了數(shù)據(jù)包的源地址，由于外部設(shè)備看不到內(nèi)部設(shè)備的地址，因此網(wǎng)絡(luò)的安全性也得到了一定的保障。 （ 2）當變更 ISP時，雖然 ISP分配給用戶的地址變了，但是用戶仍無需改變內(nèi)部設(shè)備的地址，只需在 NAT路由器上做出相應(yīng)的修改就可以輕松完成網(wǎng)絡(luò)的升級，并且 NAT在網(wǎng)絡(luò)合并方面也有著很大的應(yīng)用場合。 （ 3）支持 TCP負載均衡。通過使用 NAT，可以把內(nèi)部的幾臺服務(wù)器捆綁成一臺虛擬服務(wù)器，這些服務(wù)器在外部設(shè)備看來只是一臺服務(wù)器。當流量進入內(nèi)部網(wǎng)絡(luò)時， NAT可以在這幾臺服務(wù)器之間自動進行分流，這樣就增加了網(wǎng)絡(luò)的可靠性。 4） NAT功能存在的不足 雖然 NAT為網(wǎng)絡(luò)帶來了不少好處，但是 NAT也存在一些不足，主要表現(xiàn)為： （ 1） NAT路由器必須保持對每個連接狀態(tài)的記錄。對于每次翻譯的流量， NAT都必須記住其轉(zhuǎn)換的地址和端口，所以當NAT設(shè)備出現(xiàn)故障或 NAT鄰近的鏈路出現(xiàn)故障時，路由難以快速收斂。 NAT也會耗盡大量的 CPU和內(nèi)存資源，它影響了網(wǎng)絡(luò)的性能和數(shù)據(jù)包的處理，大大增加了網(wǎng)絡(luò)的延時，這對于部分網(wǎng)絡(luò)應(yīng)用程序也是不可接受的。 （ 2）在進行一些網(wǎng)絡(luò)安全的設(shè)計和實施時，一些加密方法必須對 IP包頭的完整性進行校驗，這樣就要求包頭在從源到目的地址之間傳輸時不能被改變。任何在路途中對包頭部分的轉(zhuǎn)換都會破壞完整性檢查，而 NAT重寫了第三層包頭信息，因此很難實現(xiàn) IP包頭的完整性。因此，在做 IPSec VPN時，IPSec不能對 NAT流量實施端到端的安全保護。 （ 3） NAT只能支持有限的程序， NAT支持的 IP業(yè)務(wù)和應(yīng)用有HTTP、 TFTP、 Tel、 NTP、 NFS、 RCP、 RSH、 ACHIE、FTP、 ICMP、 DNS等。 NAT不支持的 IP業(yè)務(wù)和應(yīng)用有 BOOTP、SNMP、 NETSHOW等，特別是各種動態(tài)路由協(xié)議的路由表更新和 DNS數(shù)據(jù)庫的相互更新。 2． NAT的類型 NAT有靜態(tài) NAT(Static NAT)、動態(tài)地址 NAT(Pooled NAT)、端口地址轉(zhuǎn)換 PAT（ Port Address Translation）三種類型。 ? （ 1）靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地址轉(zhuǎn)換為公有 IP地址，IP地址對是一對一的，是一成不變的，某個私有 IP地址只轉(zhuǎn)換為某個公有 IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備的訪問。 ? （ 2）動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地址轉(zhuǎn)換為公用 IP地址時， IP地址是不確定的，是隨機的，所有被授權(quán)訪問Inter的私有 IP地址可隨機轉(zhuǎn)換為任何指定的合法 IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當 ISP提供的合法 IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時，可以采用動態(tài)轉(zhuǎn)換的方式。 ? （ 3）端口地址轉(zhuǎn)換是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換。采用端口多路復用方式，內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部 IP地址實現(xiàn)對 Inter的訪問，從而可以最大限度地節(jié)約 IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自 Inter的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復用方式。 靜態(tài) NAT的配置 靜態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下指定接口為內(nèi)部端口。 ? ip nat inside ? （ 2）在端口配置模式下指定接口為外部端口。 ? ip nat outside ? （ 3）在全局配置模式下，在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換。 ? ip nat inside source static insidelocaladdress insideglobaladdress ? 其中參數(shù) insidelocaladdress指定內(nèi)部本地地址； insideglobaladdress指定內(nèi)部全局地址。 ? 例 58 實現(xiàn)靜態(tài) NAT地址轉(zhuǎn)換功能。將 f0/0作為內(nèi)部端口， s0/0作為外部端口，其中 ， 部本地地址采用靜態(tài)地址轉(zhuǎn)換，其內(nèi)部合法地址分別對應(yīng) ， 。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip route S0/0 動態(tài) NAT的配置 動態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下，指定接口為內(nèi)部端口。 ? ip nat inside ? （ 2）在端口配置模式下，指定接口為外部端口。 ? ip nat outside ? （ 3）全局配置模式下定義地址池來表示可用公有 IP地址范圍 ? ip nat pool 地址池名字 起始 IP 終止 IP {mask 掩碼|preficlength 網(wǎng)絡(luò)號長度 } ? （ 4）全局配置模式下定義 accesslist表示私有 IP地址范圍 ? accesslist accesslist permit source sourcewildcard ? （ 5）在全局配置模式下，在內(nèi)部的本地址與內(nèi)部的全局地址之間復用動態(tài)地址轉(zhuǎn)換。 ? ip nat inside source list{accesslistnumber|name}pool name ? 例 59 實現(xiàn)動態(tài) NAT地址轉(zhuǎn)換功能。將 f0/0作為內(nèi)部端口，其地址為 ， s0/0作為外部端口，其地址為；其中 ~，其內(nèi)部地址為 。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat pool p1 prefixlength 24 ? RouterA（ config） accesslist 1 permit ? RouterA（ config） ip nat inside source list 1 pool p1 ? RouterA（ config） ip route s0/0 PAT的配置 PAT的配置與 NAT的配置的唯一區(qū)別是：地址轉(zhuǎn)換時PAT要在命令末尾加上“ overload”，表示允許多個內(nèi)部本地地址使用同一個內(nèi)部全局地址。 例 510與例 59的區(qū)別在于： 1. 例 510要分別定義 4個地址池 2. 例 510要分別定義 4個 accesslist 3. 例 510要對 4組私有地址和公有地址分別進行轉(zhuǎn)換，且公有部門的地址轉(zhuǎn)換命令后要加上“ overload” 基于 NAT的 TCP負載均衡的配置 ? NAT翻譯都是從內(nèi)到外的翻譯，即對內(nèi)部主機發(fā)送的數(shù)據(jù)包的源地址進行翻譯。而 NAT在 TCP負載均衡上的應(yīng)用是對外部發(fā)往內(nèi)部的數(shù)據(jù)包的目標地址進行翻譯。 ? 例如內(nèi)部服務(wù)器 、 組成一個服務(wù)器組，它們共同虛擬成一臺虛擬服務(wù)器 ，當外部主機對虛擬服務(wù)器 行訪問時， NAT路由器將 TCP會話輪流分配給這個服務(wù)器中的成員， NAT以循環(huán)的方式將外部發(fā)來的連接的目標地址輪流地翻譯成 3臺服務(wù)器的實際內(nèi)部地址，由 3臺服務(wù)共同處理外部主機的通信。 配置方法 ? ①在端口配置模式下指定接口為內(nèi)部端口。 ip nat inside ? ② 在端口配置模式下指定接口為外部端口。 ip nat outside ? ③ 在全局配置模式下定義地址池來表示內(nèi)部各服務(wù)器的 IP地址范圍 ? ip nat pool name startip endip{mask mask|prefixlength prefixlength