资源描述:
《交换机_路由器配置与管理教学课件 作者 桑世庆 卢晓慧 项目十一 访问控制列表和NAT配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、项目十一访问控制列表和NAT主讲:桑世庆项目背景某集团公司总公司的内部网系统是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营系统。而计划在上海建立的分公司网络是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。任务分解任务1:访问控制列表和NAT概述任务2:访问控制列表配置任务3:NAT配置随任务1:问控制列表和NAT概述1.要使用访问控制列表的原因最初的网络只是连接有限的LAN和PC,随着路由器连接内部和外部
2、的网络,以及Internet网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问?访问控制列表增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管理员限制网络流量,也可以控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口。2.访问控制列表使用原则(1)最小特权原则。(2)最靠近受控对象原则。(3)默认丢弃原则。3.ACL的分类ACL技术可以有效地在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,
3、也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。(1)标准IP访问控制列表。一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围从1~99的访问控制列表是标准IP访问控制列表。(2)扩展IP访问控制列表。扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围从100~199的访问控制列表是扩展IP访问控制列表。(3)命名的IP访问控制列
4、表。所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种访问控制列表,定义过滤的语句与编号方式中的语句相似。4.配置访问控制列表的步骤如下(1)创建访问控制列表。access-listaccess-list-number{deny
5、permit}{testconditions}//access-list-number:序列号,这个地方也可以写命名的名称。//deny:拒绝。//permit:允许。//testconditions:过滤条件语句(2)应用访问控制列表。
6、首先要进入接口模式,然后使用下列命令应用访问控制列表。ipaccess-groupaccess-list-number{in
7、out}5.标准访问控制列表的格式access-list[listnumber
8、word][permit
9、deny][sourceaddress][wildcardmask]//[listnumber
10、word]:列表序列号或者命名。//[permit
11、deny]:允许或者拒绝。//[sourceaddress]:源IP地址。//[wildcardmask]:掩码,如果不使用掩码,则
12、使用关键字host,如host192.168.2.4。6.扩展访问控制列表的格式access-list[listnumber
13、word][permit
14、deny][protocol
15、protocolkeyword][sourceaddress][source-swidcardmask][sourceport][destinationaddress][destination-wildceardmask][destinationport]//[listnumber
16、word]:访问控制列表的序列号或者命名。//
17、[permit
18、deny]:允许或者拒绝。//[protocol
19、protocolkeyword]:协议或者协议号。//[sourceaddress]:源IP地址。//[source-swidcardmask]:源地址掩码,如果使用关键字host,则不用掩码。//[sourceport]:源端口。//[destinationaddress]:目的地IP地址。//[destination-wildceardmask]:目的地地址掩码,如果使用host关键字,则不用掩码。//[destinationport]:
20、目的端口7.NAT技术NAT(网络地址转换)是用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用Intranet中的主机无需一个为的(以及越来越缺乏的)Internet地址即可透明地连接到公共域中的主机。8.NAT实现方式NAT的实现方式有3种,即静态转换(StaticNat)、动态转换(DynamicNat)和端口多路复用OverLoad。静态转
