16-路由交换技术.pptVIP

教学内容 本章学习内容： 1、NAT技术的使用 2、广域网的互联（ppp） 3、标准访问控制列表的使用（ACL） 4、扩展访问控制列表的使用（ACL） 地址耗尽问题 由于使用分类编址，以及由于Internet的飞速增长，可供使用的公网地址几乎已经耗尽了。但是，在每一类地址中都有一些地址段被指派为专用。这些地址一般用在我们的局域网中，而不能直接与外界Internet连接，因为这些地址是非注册的地址。这些地址如下： A类：10.X.X.X B类：172.16.X.X-172.31.X.X C类：192.168.X.X 我们在实际中也会经常见到局域网使用这些专用的私有地址，但是我们还能够轻点鼠标，畅游Internet，这是如何实现的呢？ 什么是NAT NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。 NAT（Network Address Translation） 转换后，一个本地IP地址对应一个全局IP地址 NAT工作原理 动态NAT配置 1、定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 55 3、定义内部全局地址池 Router(config)#ip nat pool abc 0 netmask 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc NAT的监视和维护命令 显示命令 show ip nat statistics 显示翻译统计 show ip nat translations [verbose] 显示活动翻译 清除状态命令 clear ip nat translation * 从NAT转换表中清除所有动态地址转换项 clear ip nat translation inside local-address global-address 清除一个包含指定内部翻译的转换项 更多的命令用 clear ip nat ? 广域网互联 PPP的配置 路由器上的配置 RA(config)#interface seriel 1/2 RA(config-if)# encapsulation ppp 注：路由器广域网默认封装方式为HDLC PPP可配置身份认证方式 PPP PAP验证 PAP验证的配置 客户端（被验证方） RA(config)#interface seril 0 RA(config-if)# encapsulation ppp RA(config-if)#ppp pap sent-username ruijie password 123 PAP验证的配置 服务端（验证方） RB(config)#username ruijie password 123 RB(config)#interface seril 0 RB(config-if)# encapsulation ppp RB(config-if)#ppp authentication pap 通过访问控制列表实现网络安全访问 企业网络接入互联网后，会遇到很多安全问题，来自互联网的不安全因素将影响企业网络的正常使用 可使用访问控制列表ACL，对网络出口的数据流量进行检查过滤，提高网络安全性 IP Access-list：IP访问列表或访问控制列表，简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤 为什么要使用访问列表 访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表规则的分类： 1、标准访问控制列表 2、扩展访问控制列表 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 访问列表的入栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马