返回
PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP

PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP

ID:46549052

大小:50.00 KB

页数:5页

时间:2019-11-25

PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP_第1页
PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP_第2页
PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP_第3页
PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP_第4页
PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP_第5页
资源描述:

《PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、PorttoApplicationMapping(PAM)概述常用的协议HTTP对应TCP端口号80,常用的协议telnet对应TCP端口号23,这些端口号,Cisco设备也是遵守默认的端口号规则,而这些协议对应的端口号,是任何时候都是可以随意改动的。在正常情况下,看到TCP80,就会把它当成HTTP来处理,看到TCP23,就会当成telnet来处理。当设备上开启了CBAC后,CBAC是根据相应的协议来做好会话记录,从而在ACL为其返回的流量打开缺口的。比如己经配置CBAC检测HTTP协议,也就是说当设备检测到有T

2、CP80的数据通过时,就会记录下会话,并且为其打开缺口,而检测TCP其它端口号,是不会这么做的。但是,在某些特殊时候,如果你发起的HTTP会话,端口号己经被改变,如己经改成1000,那么这个时候你发起的HTTP会话就是TCP1000,对于TCP1000这样的数据,在已配置好的CBAC屮,是不会为其记录并打开缺口的,如果要让CBAC也知道你现在所使用的HTTP已经不再是标准的端口号了,但还希望CBAC为你服务,那么就必须手动告诉设备你己经将HTTP改为了TCP1000o这个功能就是靠PAM来实现的。原本的CBAC只支

3、持协议的标准端口,但是要让CBAC支持非常规端口协议,就需要PAM来完成这个工作。要让设备知道相应协议是用哪些端口号,可以配置协议和对应的端口号,如果没有人为配置,系统中也同样会存在这样的对应表。表里面提供三种信息,分别为:系统定义的映射用户定义的映射主机映射其中系统定义的就是标准的协议端口号,是不能更改的;而用户定义的可以随意更改和删除,如果同时存在系统定义的和用户定义的,那么会优先使用用户定义的。主机映射就是可以使用重复端口,即是基于每台主机的,比如定义某台主机HTTP使用TCP1000,而定义另夕I、一台主机

4、FTP使用TCP1000o也可以为某个协议定义一个范围的端口号,通过多次输入命令实现。FO/O1211^2F0/113.1.1.3说明:在R3上配置NAT,让telnet到13.1.1.100的结果被转到telnet34.1.1.41•在R3上配置NAT说明:配置让telnet到13.1.1.100,目标端口为1000的,结果被转到telnet34.1.1.4⑴定义NAT方向r3(config)#intf0力r3(config-if)#ipnatinsider3(config)#intfO/1r3(config-i

5、f)#ipnatoutside(2)配置映射r3(config)#ipnatinsidesourcestatictcp34.1.1.42313.1.1.1001000说明:当telnet13.1.1.1001000时,结果为telnet到34.1.1.42.测试telnet结果(1)测试从R2telnet13.1.1.100,目标端口为WOOr2#telnet13.1.1.1001000Trying13.1.1.100,1000...Openr4>说明:从结果中看出,当R2telnet13.1.1.100,目标端口

6、为1000时,结果为结果为telnet到34.1丄4。2.配置CBAC说明:在R1上配置CBAC,拒绝从F0/1进来的所有数据,但是记录R2发起的telnet数据,并允许其返回(1)配置ACL拒绝所有数据进入rl(config)#access-list100denyipanyanyrl(config-if)#ipaccess-group100in(2)配置CBAC允许telnet返回rl(config)#ipinspectnameccietelnettimeout100rl(config)#intfO/1rl(co

7、nfig-if)#ipinspectccieout3.测试CBAC结果(1)测试R2telnet13.1.1.100,目标端口为1000时,CBAC是否能为其记录会话并打开缺口r2#telnet13.1.1.1001000Trying13.1.1.100,1000...%Connectiontimedout;remotehostnotrespondingr2#说明:从结果屮看出,CBAC并不会为端口号为1000的数据创建返回缺口,因为已配置的CBAC只记录telnet,也就是标准TCP23端口,而现在是TCP100

8、0端口,所以并不被关心。2.配置PAM说明:已配置的CBAC只记录telnet,也就是TCP为23端口的数据包,而现在的telnet为TCP端口号1000,所以并没有被记录,因此配置PAM,改变设备的默认telnet端口,应改为1000,从而让CBAC根据此端口映射表作记录。(1)配置telnet端口号为1000rl(config)#ipport-mapte

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。