华为技术培训资料-DTL110015 访问控制列表和地址转换原理.ppt

DTL110015访问控制列表和地址转换原理,ISSUE1.0,Internal,Page1,学习完本课程，您应该能够：理解访问控制列表的基本原理理解地址转换的基本原理,学习目标,Page2,IP包过滤技术介绍,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Page3,访问控制列表的作用,访问控制列表可以用于防火墙；访问控制列表可以用于Qos（QualityofService），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,Page4,访问控制列表是什么？,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：,Page5,如何标识访问控制列表？,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,Page6,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,Page7,标准访问控制列表的配置,配置标准访问列表的命令格式如下：aclacl-numbermatch-orderauto|configrulenormal|specialpermit|denysourcesource-addrsource-wildcard|any,怎样利用IP地址和反掩码wildcard-mask来表示一个网段?,Page8,如何使用反掩码,反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。,Page9,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,Page10,扩展访问控制列表的配置命令,配置TCP/UDP协议的扩展访问列表：rulenormal|specialpermit|denytcp|udpsourcesource-addrsource-wildcard|anysource-portoperatorport1port2destinationdest-addrdest-wildcard|anydestination-portoperatorport1port2logging配置ICMP协议的扩展访问列表：rulenormal|specialpermit|denyicmpsourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anyicmp-typeicmp-typeicmp-codelogging配置其它协议的扩展访问列表：rulenormal|specialpermit|denyip|ospf|igmp|gresourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anylogging,Page11,扩展访问控制列表操作符的含义,Page12,扩展访问控制列表举例,ruledenyicmpsource55destinationanyicmp-typehost-redirect,ruledenytcpsource55destination55destination-portequalwwwlogging,问题:下面这条访问控制列表表示什么意思?ruledenyudpsource55destination55destination-portgreater-than128,Page13,如何使用访问控制列表,防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,Page14,防火墙的属性配置命令,打开或者关闭防火墙firewallenable|disable设置防火墙的缺省过滤模式firewalldefaultpermit|deny显示防火墙的状态信息displayfirewall,Page15,在接口上应用访问控制列表,将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewallpacket-filteracl-numberinbound|outbound,Ethernet0,Serial0,Page16,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,上班时间（上午8：00下午5：00）只能访问特定的站点；其余时间可以访问其他站点,Page17,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledeny55rulepermit55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,Page18,学习完本课程，您应该能够：理解访问控制列表的基本原理理解地址转换的基本原理,学习目标,Page19,引入,按照目前Internet网络迅猛发展的速度，到2010年IPv4的地址将消耗殆尽。目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。目前解决IP地址短缺的有效方法：NAT和CIDR,Page20,学习完本课程，您应该能够：掌握NAT的基本概念掌握NAT的基本工作原理掌握8070产品的NAT实现掌握8011产品的NAT实现填写课程目标。,目标,Page21,内容介绍,第一章NAT基本概念第二章NAT基本工作原理第三章8070产品NAT实现第四章8011产品NAT实现,Page22,第一章NAT基本概念,NAT(NetworkAddressTranslator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。,Page23,第一章NAT基本概念,共有地址和私有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：-55-55-55,Page24,第一章NAT基本概念,地址池地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。,Page25,第一章NAT基本概念,访问控制列表访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。,Page26,第一章NAT基本概念,转换关联转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。,Page27,第一章NAT基本概念,内部服务器映射表内部服务器映射表是由NATSERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。,Page28,内容介绍,第一章NAT基本概念第二章NAT基本工作原理第三章8070产品NAT实现第四章8011产品NAT实现,Page29,第二章NAT的基本工作原理,NAT在系统中的位置,Page30,第二章NAT的基本工作原理,NAT基本工作原理（以出口NAT为例）在IP层的出口处调用NAT,Page31,第二章NAT的基本工作原理,在IP层的入口处调用NAT,Page32,第二章NAT的基本工作原理,透明的地址分配静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。,Page33,第二章NAT的基本工作原理,NAT的基本工作方式：NAT一对一的地址转换PAT多对一的地址转换NPAT多对多的地址转换,Page34,第二章NAT的基本工作原理,NAT方式,Page35,第二章NAT的基本工作原理,NAT方式在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单只转换IP报文头中的IP地址，所以适用于所有IP报文转换,Page36,第二章NAT的基本工作原理,PAT方式(0:1001-6:23)-(00:12964-6:23)(6:23-00:12964)-(6:23-0:1001),Page37,第二章NAT的基本工作原理,PAT方式PAT（PortAddressTranslation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。PAT方式的地址转换是采用了“地址端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地址之间建立多对一映射。不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每一个内部网主机。,Page38,第二章NAT的基本工作原理,NPAT方式(0:1001-6:23)-(00:12964-6:23)(:2001-7:25)(6:23-00:12964)-(6:23-0:1001)(7:25-:2001),Page39,第二章NAT的基本工作原理,NPAT方式NPAT（Nat&PortAddressTranslation）方式的地址转换也是利用了TCP/UDP协议的端口号，进行地址转换。私网地址和公网地址之间建立了多对多的映射关系。NPAT方式也是采用“地址端口”的映射关系，因此可以使内部局域网的多个主机共享多个IP地址访问Internet。,Page40,第二章NAT的基本工作原理,内部服务器内部服务器是一种反相的地址转换。地址转换屏蔽了内部网络中的主机，而内部服务器可以提供外部网络访问内部网络的服务。可以配置WWW、FTP、Telnet等服务。内部服务器映射表是由NATSERVER命令配置的，在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。,Page41,第二章NAT的基本工作原理,内部服务器,Page42,第二章NAT的基本工作原理,利用ACL控制地址转换,Page43,第二章NAT的基本工作原理,支持特殊协议（ALG应用程序网关）地址转换改变了IP数据包头的IP地址信息，如果数据报文的载荷中含有地址信息，地址转换就需要特殊处理，除了改变IP包头的地址信息以外还需要改变数据报文中载荷中的地址信息。比较典型的应用是FTP目前VRPNAT平台支持FTP、Radius、L2tp、PPTP、CMC几种特殊的协议。以及后来支持的H.323、SMTP、DNS等。,Page44,第二章NAT的基本工作原理,以FTPALG为例：在TCP的应用FTP中，包含两种连接：控制连接（会话）、数据连接（传输）。其中控制连接是用大家都熟悉的21端口的TCP连接。数据连接却是由客户端“发起”的，它通过控制连接“通知”服务器它已经初始化完的端口，FTP服务器通过20端口（默认情况）将数据传送到客户端。,Page45,第二章NAT的基本工作原理,以FTPALG为例（续）：在通知服务器的时候，会用到“PORT命令”，其中在这次TCP连接的数据中是这样的：“PORT10,110,1,2,13,23AD”（表示：端口=13FIB查找-ACL匹配重定向到NAT板下行-查找NAT转换表进行转换-（查找不成功按照报文类型决定添加表项还是丢弃，添加表项由微码完成）送自环物理接口至NAT板上行-NAT板上行查找FIB-送目的LPU板下行-目的LPU板下行封装、转发,Page60,第四章8011产品的NAT实现,反向NAT：IP上行-IP入端口-FIB查找重定向到NAT板-NAT板下行-查找NAT转换