网络规划与设计补充内容ipv6-nat-dhcp-acl.ppt_第1页
网络规划与设计补充内容ipv6-nat-dhcp-acl.ppt_第2页
网络规划与设计补充内容ipv6-nat-dhcp-acl.ppt_第3页
网络规划与设计补充内容ipv6-nat-dhcp-acl.ppt_第4页
网络规划与设计补充内容ipv6-nat-dhcp-acl.ppt_第5页
已阅读5页,还剩53页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

下一代的网际协议IPv6,IPv6新特性: 1、更大的地址空间 2、简化了首部格式 3、灵活的协议 4、允许对资源预分配 5、允许协议继续演变,(1)版本(version) (2)通信量类(traffic class) (3)流标号(flow label) (4)有效载荷长度(payload length) (5)下一个首部(next header) (6)跳数限制(hop limit) (7)源地址 (8)目的地址,六种扩展首部: 逐跳选项 路由选择 分片 鉴别 封装安全有效载荷 目的站选项,扩展首部,IPv6保留了IPv4分片的大部分特征,其分片扩展首部共有以下几个字段: (1)下一个首部(8 bit) (2)保留(10 bit) (3)片偏移(13 bit) (4)M(1 bit) (5)标识符(32 bit),私有地址,1.静态NAT 内部主机地址被一对一映射到外部主机地址,Pc1:- Pc2:- Pc3:- Pc4:-,?,X,NAT分类,NAT分类,2. 动态NAT 内部主机使用地址池中的公网地址来映射,Pc1:- Pc2:-,3. 端口复用(PAT) 端口复用的特征是内部多个私有地址通过不同的端口被映射到一个公网地址,Overloading, or Port 理想状况下,一个单一的IP地址可以使用的端口数为4000个。,NAT分类,配置NAT,静态NAT配置实例,静态NAT配置实例,r1(config)#ip nat inside source static r1(config)#ip nat inside source static r1(config)#interface f0/0 r1(config-if)#ip nat inside r1(config)#int s0/0 r1(config-if)#ip nat outside,静态NAT配置实例,r1# debug ip nat IP NAT debugging is on 00:11:09: NAT: s=-, d= 40936 00:11:09: NAT*: s=, d=- 40936 r1# sh ip nat translations Pro Inside global Inside local Outside local Outside global - - -,动态NAT配置实例,动态NAT配置实例,r1(config)#ip nat pool NAT 0 netmask r1(config)#access-list 1 permit 55 r1(config)#ip nat inside source list 1 pool NAT r1(config)#interface f0/0 r1(config-if)#ip nat inside r1(config)#int s0/0 r1(config-if)#ip nat outside,动态NAT配置实例,r1# debug ip nat 00:45:40: NAT: s=-, d= 38930 00:45:40: NAT*: s=, d=- 38930 00:46:03: NAT: s=-, d= 38961 00:46:03: NAT*: s=, d=- 38961 00:46:27: NAT: s=-, d= 38993,动态NAT配置实例,r1#sh ip nat translations Pro Inside global Inside local Outside local Outside global - - - - - - - r1#clear ip nat translation * r1#sh ip nat translations,PAT配置实例,PAT配置实例,r1(config)#ip nat pool NAT 0 netmask r1(config)#access-list 1 permit 55 r1(config)#ip nat inside source list 1 pool NAT overload r1(config)#interface f0/0 r1(config-if)#ip nat inside r1(config)#int s0/0 r1(config-if)#ip nat outside r1(config)#ip route ,PAT配置实例 (PAT Example),r1#sh ip nat translations Pro Inside global Inside local Outside local Outside global icmp :1792 :1792 :1792 :1792 icmp :1024 :1792 :1792 :1024,NAT排错,路由器DHCP服务,ip dhcp pool global /global是pool name network /动态分配的地址段 ip dhcp excluded-address 9 /不用于分配的地址 ip dhcp excluded-address 40 54 domain-name /为客户机配置域后缀 dns-server /配置dns服务器 netbios-name-server /配置wins服务器,lease 3 /地址租用期限 ip dhcp pool vlan1 network /本pool是global子pool default-router 00 01 /配置默认网关 no service dhcp /停止DHCP服务 sh ip dhcp binding /显示地址分配情况 show ip dhcp conflict /显示地址冲突情况,路由器DHCP服务,Router1#show ip dhcp binding IP address Hardware address Lease expiration Type 1 0100.0103.85e9.87 Apr 10 2003 08:55 PM Automatic 2 0100.50da.2a5e.a2 Apr 10 2003 09:00 PM Automatic 3 0100.0103.ea1b.ed Apr 10 2003 08:58 PM Automatic,路由器DHCP服务,ACL,1限制网络流量、提高网络性能。 2提供对通信流量的控制手段。 3提供网络访问的基本安全手段。 4在路由器接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。,ACL如何工作,ACL条件顺序,ACL条件顺序,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。,标准 ACL,标准 ACL ( Standard ACL ) 检查源地址(Checks Source address ) 允许或拒绝整个协议族(Generally permits or denies entire protocol suite),Outgoing Packet,fa0/0,S0/0,Incoming Packet,Access List Processes,Permit?,扩展 ACL ( Extended ACL ) 检查源和目的地址 ( Checks Source and Destination address) 通常允许或拒绝特定的协议 (Generally permits or denies specific protocols),Outgoing Packet,Fa0/0,s0/0,Incoming Packet,Access List Processes,Permit?,Protocol,扩展 ACL,用扩展ACL检查数据包,常见端口号,ACL表号,通配符掩码(Wildcard Mask ),1.是一个32比特位的数字字符串 2.0表示“检查相应的位”,1表示“不检查(忽略)相应的位”,特殊的通配符掩码,1. Any 55 2. Host 9 Host 9,Access List 命令,Step 1:定义访问控制列表(Define the ACL),access-list access-list-number permit | deny test conditions ,Router(config)#,Router(config)#access-list 1 permit 55,Step 2:将访问控制列表应用到某一接口上 (Apply ACL to a Interface), protocol access-group access-list-number in | out,Router(config-if)#,Access List 命令,Router(config-if)#ip access-group 1 out,仅允许我的网络(Permit my network only),access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,标准IP ACL实例1,,,3,E0,S0,E1,Non- ,access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准IP ACL实例2,,,3,E0,S0,E1,Non- ,拒绝特定的主机(Deny a specific host),access-list 1 deny 55 access-list 1 permit any (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准IP ACL实例3,,,3,E0,S0,E1,Non- ,拒绝特定的子网(Deny a specific subnet),扩展ACL配置,Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒绝从到的经过E0出方向的FTP流量 Deny FTP from subnet to subnet out of E0 允许其他所有的流量 Permit all other traffic,扩展ACL实例1,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,仅拒绝子网 在E0出方向的流量 Deny only Telnet from subnet 172.1 6.4.0 out of E0 允许其他流量(Permit all other traffic),实例 2,,,3,E0,S0,E1,Non- ,标准ACL与扩展ACL比较,标准(Standard),扩展(Extended),过滤基于源 (Filters Based onSource.),过滤基于源和目的( Filters Based on Source and destination.),允许或拒绝整个协议族(Permit or deny entire TCP/IP protocol suite.),允许或拒绝特定的IP协议或端口 (Specifies a specific IP protocol and port number.),范围(100-199) Range is 100 through 199.,范围(1-99) Range is 1 through 99,命名IP ACL,Router(config)#,ip access-list standard | extended name,IOS11.2 以后支持的特征 Feature for Cisco IOS Release 11.2 or later,名字字符串要唯一 Name string must be unique,使用命名IP ACL, permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions ,Router(config std- | ext-nacl)#,允许或拒绝陈述条件前没有表号 Permit or deny statements have no prepended number 可以用“NO”命令移去特定的陈述 “no“ removes the specific test from the named access list,创建一个扩展的命名访问控制表,拒绝子网络的telnet的数据通过F0端口转发到网络。 Ip access-list extended ACL1 Deny tcp 55 55 eq 23 Permit ip any any Interface Fastethernet 0/0 Ip access-group ACL1 out,扩展ACL靠近源 Place extended access lists close to the source 标准ACL靠近目的 Place standard access lists close to the destination,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,放置ACL,D,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address de

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论