返回
地铁网络设备配置ACL和NAT配置

地铁网络设备配置ACL和NAT配置

ID:43207996

大小:1.87 MB

页数:51页

时间:2019-10-02

地铁网络设备配置ACL和NAT配置_第1页
地铁网络设备配置ACL和NAT配置_第2页
地铁网络设备配置ACL和NAT配置_第3页
地铁网络设备配置ACL和NAT配置_第4页
地铁网络设备配置ACL和NAT配置_第5页
资源描述:

《地铁网络设备配置ACL和NAT配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、路由器的扩展配置一、访问控制列表ACL配置二、NAT配置访问控制列表引入对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处访问控制列表是什么?一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则一、访问控制列表ACL概述ACL(AccessControlLists)

2、概念:控制网络通信流量的手段,也是网络安全策略的一个组成部分。ACL是作用于网络设备(路由器、交换机、防火墙等)接口的指令列表,设备根据这些指令列表的内容决定接收还是放弃数据包,有时称包过滤。ACL可根据数据包报头中的任何部分进行接收或拒绝数据包,常见有:协议类型:UDP、TCP、ICMP等协议地址:如IP地址,包括源和目标地址协议端口:这是ACL最常基于的信息ACL的两种执行方式接收在ACL列表中指定的主机和网络的访问,其他主机和网络都被拒绝。(permit)拒绝在ACL列表中指定的主机和网络的访问,其他主机和网络都被接收。(deny)二、访问控制列表ACL工作原理ACL可对进入路由器

3、端口的数据包进行过滤,也可从路由器端口出去的数据包进行过滤。允许否是否有ACL出口是否有ACL是否有路由表项是否允许通过检查ACL语句抛弃转发数据包选择相应出口检查ACL语句是否允许通过无是有无有允许无分组到达入口入口否如何标识访问控制列表?利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist(标准ACL)1~99IPextendedlist(扩展的ACL)100~29948bit的MAC地址700~799标准ACL和扩展ACL标准访问控制列表标准访问控制列表只针对数据包的源IP地址进行过滤,表明是允许还是拒绝。从202.110.

4、10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器标准ACL通常用于下列情况:阻止或允许来自某一网络的所有通信流量阻止或允许来自某一子网络的所有通信流量阻止或允许来自某一特定主机网络的所有通信流量作ACL时尽量靠近网络中的目的端access-listaccess-list-number{permit

5、deny}source[source-mask]Router(config)#使用命令ipaccess-group将列表应用于接口In:对从该接口进入的数据包进行过滤Out:对从该接口流出的数据包进行过滤Router(config-if)#ipacc

6、ess-groupaccess-list-number{in

7、out}三、标准访问控制列表的配置使用access-list创建一个标准IP访问列表条目;列表号从1到99怎样利用IP地址和反掩码wildcard-mask来表示一个网段?如何使用反掩码反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位补充:ACLAccess-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作

8、。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。Access-list动作分为两种:允许通过(permit)或拒绝通过(deny)在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。与第一条语句匹配?PacketstoInterface(s)intheAccessGroupPacket DiscardBucket

9、YInterface(s)DestinationDenyDenyPermitYMatchNextTest(s)?NPermitYDenyYYNPermitDenyMatchLastTest?YNImplicitDeny包被拒绝或允许的过程否:隐含拒绝所有包标准访问控制列表举例1只允许内部的网段访问172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-(非)172.16.0.0access-list1per

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。