网络安全配置课件

1、网络安全配置1 第第5章章 网络安全配置网络安全配置 网络安全配置2 学习目标学习目标 掌握掌握NAT动态转换配置方法动态转换配置方法 掌握掌握NAT静态转换配置方法静态转换配置方法 掌握应用掌握应用IP ACL配置方法配置方法 掌握扩展掌握扩展IP ACL定义方法定义方法 掌握标准掌握标准IP ACL定义方法定义方法 网络安全配置3 5.1 ACL5.1 ACL配置配置 1ACL配置 ACL概述 配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 uACL通过应用访问控制列表到路由器接口通过应用访问控制列表到路

2、由器接口 来管理流量和审视特定分组。来管理流量和审视特定分组。 uACL适用于所有的路由协议，当分组经过适用于所有的路由协议，当分组经过 路由器时进行过滤。路由器时进行过滤。 u可在路由器上配置可在路由器上配置ACL以控制对某一网络以控制对某一网络 或子网的访问。或子网的访问。 uACL的定义必须基于协议。的定义必须基于协议。 访问控制列表访问控制列表 （Access Control List，ACL） 是一个连续的允许和拒绝语句的集合，关系是一个连续的允许和拒绝语句的集合，关系 到地址或上层协议。到地址或上层协议。 网络安全配置4 （2）一个）一个ACL的配置是每协议、每接口、每的配置是每协

3、议、每接口、每 方向的。方向的。 （3）ACL的语句顺序决定了对数据包的控制的语句顺序决定了对数据包的控制 顺序。顺序。 （4）最有限制性的语句应放在）最有限制性的语句应放在ACL语句的首语句的首 行。行。 （5）在将）在将ACL应用到接口之前，一定要先建应用到接口之前，一定要先建 立访问控制列表。立访问控制列表。 （6）ACL的语句的语句 能被逐条地删除，只能一次能被逐条地删除，只能一次 性地删除整个访问控制列表。性地删除整个访问控制列表。 （7）在）在ACL的最后，有一条隐含的的最后，有一条隐含的“全部拒绝全部拒绝” 的命令。的命令。 （8）ACL只能过滤穿过路由器的数据流量，不只能过滤穿

4、过路由器的数据流量，不 能过滤路由器本身发出的数据包。能过滤路由器本身发出的数据包。 5.1 ACL5.1 ACL配置配置 （1）ACL的列表号指出是哪种协议的的列表号指出是哪种协议的ACL 定义定义ACL时所应遵循的规范：时所应遵循的规范： 协议协议范围范围 标准标准IPIP1-991-99 扩展扩展IPIP100-199100-199 AppleTalkAppleTalk600-699600-699 标准标准IPXIPX800-899800-899 扩展扩展IPXIPX900-999900-999 IPX SAPIPX SAP1000-19991000-1999 1ACL配置 ACL概述

5、配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置5 5.1 ACL5.1 ACL配置配置 为移除标准访问列表，使用该命令的为移除标准访问列表，使用该命令的 no形式。形式。 no access-list access-list-number 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 定义标准定义标准IP访问列表访问列表 access-list access-list-number deny | permit source source-wil

6、dcard access-list-number deny permitsource source-wildcard 访问列表访问列表 编号编号 在匹配条件语句在匹配条件语句 时，拒绝分组通时，拒绝分组通 过过 在匹配条件语句在匹配条件语句 时，允许分组通时，允许分组通 过过 发送分组的源地址，指定源发送分组的源地址，指定源 地址方式如下：地址方式如下： 32位点分十进制。位点分十进制。 使用关键字使用关键字any，作为，作为 55的源地址和源的源地址和源 地址通配符的缩写字。地址通配符的缩写字。 （可选项）通配符掩码，指定（可选项）通配符掩码，指定 源

7、地址通配符掩码方式如下：源地址通配符掩码方式如下： 32位点分十进制。位点分十进制。 使用关键字使用关键字any，作为，作为 55的源地址和源的源地址和源 地址通配符的缩写字。地址通配符的缩写字。 1ACL配置 oACL概述 配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置6 5.1 ACL5.1 ACL配置配置 通配符掩码通配符掩码: 一个一个32比特的数字字符串。比特的数字字符串。 0 表示检查相应位表示检查相应位 1 表示不检查相应位表示不检查相应位

8、u通配符掩码跟通配符掩码跟IP地址是成对出现的。在通配符地址是成对出现的。在通配符 掩码的地址位使用掩码的地址位使用1或或0表明如何处理相应的表明如何处理相应的IP 地址位。地址位。 uACL使用通配符掩码来标志一个或几个地址是使用通配符掩码来标志一个或几个地址是 被允许，还是被拒绝。被允许，还是被拒绝。 所有主机所有主机: 55 简写简写 any 特定的主机：特定的主机：9 简写简写 host 1ACL配置 oACL概述 配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视

9、与维护 ACL 0NAT配置 0实验练习 网络安全配置7 5.1 ACL5.1 ACL配置配置 F例例 标准访问列表允许标准访问列表允许IP地址范围从地址范围从 4到到27的设备访问。的设备访问。 Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit 55 F例例

10、标准访问列表允许来自三个指定网络上的标准访问列表允许来自三个指定网络上的 主机访问。主机访问。 Router(config)# access-list 1 permit 4 3 F例例 为了更容易地指定大量单独地址，如果通为了更容易地指定大量单独地址，如果通 配符掩码都为配符掩码都为0，可以忽略。因此，如下三个，可以忽略。因此，如下三个 配置效果是一样的。配置效果是一样的。 Router(config)# access-list 2 permit Router(config)# access-list 2 permit host 10.48.

11、0.3 Router(config)# access-list 2 permit 1ACL配置 oACL概述 配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置8 5.1 ACL5.1 ACL配置配置 F例例 来自来自网络的主机被限制访问该路由网络的主机被限制访问该路由 器，但器，但网络中所有其它网络中所有其它IP主机被允许。主机被允许。 另外，地址另外，地址3主机允许访问该路由器。主机允许访问该路由器。 Route

12、r(config)# access-list 1 permit 3 Router(config)# access-list 1 deny 55 Router(config)# access-list 1 permit 55 1ACL配置 oACL概述 配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置9 5.1 ACL5.1 ACL配置配置 F例例 应用列表应用列表101101过滤从以太网接口过滤从以太网接口0

13、0出站的分组。出站的分组。 Router enable Router# configure terminal Router(config)# interface ethernet 0 Router(config-if)# ip access-group 101 out 在接口配置模式下在接口配置模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 应用一个应用一个IP访问列表到一个接口访问列表到一个接口 ip access-group access-list-name | access-list-number in | out 为移除一个为移除一个IP访问列表，使用该命令的访

14、问列表，使用该命令的 no形式。形式。 no ip access-group access-list-number | access-list-name in | out access-list-numberin out IP访问列表的号码访问列表的号码 入站过滤分组入站过滤分组 出站过滤分组出站过滤分组 access-list-name IP访问列表名字访问列表名字 1ACL配置 oACL概述 o配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置10 5.1 ACL5.1 ACL配置配置 F例例

15、定义访问列表只允许在网络定义访问列表只允许在网络上上 的主机连接到路由器上虚拟终端端口。的主机连接到路由器上虚拟终端端口。 Router(config)# access-list 12 permit 55 Router(config)# line 1 5 Router(config-line)# access-class 12 in 在线路配置模式下在线路配置模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 限制一个特定的限制一个特定的vty之间的传入和之间的传入和 传出连接和在访问列表中的地址传出连接和在访问列

16、表中的地址 access-class access-list-number in | out 为移除访问限制，使用该命令的为移除访问限制，使用该命令的no形式。形式。 no access-class access-list-number in | out in out 在传入连接限制在传入连接限制 在传出连接限制在传出连接限制 access-list-number IP访问列表的号码访问列表的号码 1ACL配置 oACL概述 o配置标准ACL 应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置11 5.1 ACL5

17、.1 ACL配置配置 扩展扩展ACL u既可检查分组的源地址和目的地址，也既可检查分组的源地址和目的地址，也 检查协议类型和检查协议类型和TCP或或UDP的端口号。的端口号。 u可以基于分组的源地址、目的地址、协可以基于分组的源地址、目的地址、协 议类型、端口地址和应用来决定访问是议类型、端口地址和应用来决定访问是 被允许或者被拒绝。被允许或者被拒绝。 1ACL配置 oACL概述 o配置标准ACL o应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置12 5.1 ACL5.1 ACL配置配置 在全局配置模式下在全局

18、配置模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 定义扩展定义扩展IP访问列表访问列表 access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard 为移除访问列表，使用该命令的为移除访问列表，使用该命令的no形式。形式。 no access-list access-list-number Internet Control Message Protocol (ICMP) access-list-number de

19、ny permit protocol source source-wildcard destination destination-wildcard 访问控制访问控制 列表编号列表编号 如果条件符合如果条件符合 就拒绝访问就拒绝访问 如果条件符合如果条件符合 就允许访问就允许访问 Internet协议协议 名称或号码名称或号码 发送分组的网发送分组的网 络号或主机络号或主机 应用于源地址应用于源地址 的反向掩码的反向掩码 分组的目的网分组的目的网 络号或主机络号或主机 应用于目的地应用于目的地 址的反向掩码址的反向掩码 1ACL配置 oACL概述 o配置标准ACL o应用ACL 配置扩展ACL

20、 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置13 5.1 ACL5.1 ACL配置配置 F例例 串行接口串行接口0是地址为是地址为的的B类网络的一类网络的一 部分，邮件主机的地址为部分，邮件主机的地址为。established 关键字只用在关键字只用在TCP协议，表示一个建立的连接。协议，表示一个建立的连接。 如果如果TCP数据包中的数据包中的ACK或或RST被设置，那么匹被设置，那么匹 配发生，表明分组属于一个存在的连接。配发生，表明分组属于一个存在的连接。 Router(config)# acc

21、ess-list 102 permit tcp 55 55 established Router(config)# access-list 102 permit tcp 55 eq 25 Router(config)# interface serial 0 Router(config-if)# ip access-group 102 in F例例 允许允许DNS分组和分组和ICMP回送和回送回答分组。回送和回送回答分组。 Router(c

22、onfig)# access-list 102 permit tcp any 55 established Router(config)# access-list 102 permit tcp any host eq smtp Router(config)# access-list 102 permit tcp any any eq domain Router(config)# access-list 102 permit udp any any eq domain Router(config)# access-list 102 per

23、mit icmp any any echo Router(config)# access-list 102 permit icmp any any echo-reply 1ACL配置 oACL概述 o配置标准ACL o应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置14 5.1 ACL5.1 ACL配置配置 F例例 串行接口串行接口0连接路由器到连接路由器到Internet。IGMP 的的host-report报文被禁止在任何内部主机与报文被禁止在任何内部主机与 任何任何Internet上外部主机之间传送。上外部

24、主机之间传送。 Router(config)# access-list 102 deny igmp any any host-report Router(config)# interface serial 0 Router(config-if)# ip access-group 102 out F例例 以太网接口以太网接口0连接路由器到防火墙以访问连接路由器到防火墙以访问 Internet。为了确保。为了确保Internet RIP报文不进入报文不进入 路由器，应用了路由器，应用了ACL104的拒绝的拒绝RIP UDP报报 文的入站过滤器。文的入站过滤器。 Router(config)# ac

25、cess-list 104 permit udp any any neq rip Router(config)# access-list 104 deny udp any any eq rip Router(config)# interface serial 0 Router(config-if)# ip access-group 104 in 1ACL配置 oACL概述 o配置标准ACL o应用ACL 配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置15 5.1 ACL5.1 ACL配置配置 使用命名使用命名ACL有以下好

26、处：有以下好处： （1）直观）直观 （2）不受）不受99条标准条标准ACL和和100条扩展条扩展ACL的限制的限制 （3）方便修改）方便修改 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 定义一个使用名称或编号的定义一个使用名称或编号的IP访问列表访问列表 ip access-list standard | extended access-list-name | access-list-number 移除移除IP访问列表，使用该命令的访问列表，使用该命令的no形式。形式。 no ip access-list standard | extend

27、ed access-list-name | access-list-number standard extended access-list-name access-list-number 标准标准IP访访 问列表问列表 扩展扩展IP访访 问列表问列表 IP访问列访问列 表名称表名称 访问列表访问列表 的编号的编号 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置16 5.1 ACL5.1 ACL配置配置 F例例 定义标准访问列表，命名为定义标准访问列表，命名为I

28、nternetfilter。 Router(config)# ip access-list standard Internetfilter Router(config-std-nacl)# permit 55 Router(config-std-nacl)# permit 55 Router(config-std-nacl)# permit 55 在实现命名在实现命名ACL之前，需要考虑：之前，需要考虑： （1）11.2之前版本的之前版本的Cisco IOS软件不支持软件不支持 命

29、名命名ACL。 （2）不能够以同一名字命名多个）不能够以同一名字命名多个ACL。 F例例 定义扩展访问列表，命名为定义扩展访问列表，命名为server-access Router(config)# ip access-list extended server-access Router(config-ext-nacl)# permit tcp any host 9 eq smtp Router(config-ext-nacl)# permit tcp any host 9 eq domain Router(config-ext-nacl)#

30、permit ip any any 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置17 5.1 ACL5.1 ACL配置配置 F例例 定义扩展访问列表，命名为定义扩展访问列表，命名为server-access Router(config)# ip access-list extended server-access Router(config-ext-nacl)# permit tcp any host 9 eq smtp Router

31、(config-ext-nacl)# permit tcp any host 9 eq domain Router(config-ext-nacl)# permit ip any any F例例 从标准命名从标准命名ACL中删除单独的中删除单独的ACE。 Router(config)# ip access-list standard border-list Router(config-ext-nacl)# no permit ip host any F例例 从标准命名从标准命名ACL中删除单独的中删除单独的ACE。 Router(config)# i

32、p access-list standard border-list Router(config-ext-nacl)# no permit ip host any 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL 配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置18 5.1 ACL5.1 ACL配置配置 命令如下：命令如下： Router(config)# access-list 1 deny host Router(config)# access-list 1 permi

33、t any 扩展的扩展的ACL命令如下：命令如下： Router(config)# access-list 101 deny ip host host Router(config)# access-list 101 permit ip any any 放置放置ACL的一般原则是：的一般原则是： u扩展扩展ACL尽可能放置在距离要被拒绝的尽可能放置在距离要被拒绝的 通信量近的地方。通信量近的地方。 u标准标准ACL应该尽可能放置在距离目的地应该尽可能放置在距离目的地 最近的地方。最近的地方。 u如果要禁止如果要禁止PC3访问访问PC1，可以在网络中，可以在

34、网络中 使用标准的使用标准的ACL 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL o配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置19 5.1 ACL5.1 ACL配置配置 使用的位置使用的位置 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL o配置命名ACL ACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置20 5.1 ACL5.1 ACL配置配置 F例例 查看全部查看全部ACL。 Router#show access-lists Sta

35、ndard IP access list 1 deny , wildcard bits 55 permit any Extended IP access list 101 deny tcp 55 .255 eq ftp permit ip any any 在用户模式或特权模式下在用户模式或特权模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 显示当前访问列表的内容显示当前访问列表的内容 show access-lists access-list-number |

36、 access-list-name access-list-number access-list-name (可选项可选项) 访问列表访问列表 编号编号 (可选项可选项) 访问列表访问列表 名称名称 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL o配置命名ACL oACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置21 5.1 ACL5.1 ACL配置配置 在特权模式下在特权模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 显示所有当前显示所有当前IP访问列表的内容访问列表的内容 show ip acce

37、ss-list access-list-number | access-list-name | interface interface-name in | out access-list-number access-list-name interface interface-name in out (可选项可选项) IP访问列访问列 表编号表编号 (可选项可选项) IP访问列访问列 表名称表名称 (可选项可选项) 接口名称接口名称 (可选项可选项) 输入接口输入接口 统计信息统计信息 (可选项可选项) 输出接口输出接口 统计信息统计信息 1ACL配置 oACL概述 o配置标准ACL o应用AC

38、L o配置扩展ACL o配置命名ACL oACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置22 5.1 ACL5.1 ACL配置配置 F例例 显示所有访问列表。显示所有访问列表。 Router# show ip access-list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain F例例 显示指定名称的访问列表。

39、显示指定名称的访问列表。 Router# show ip access-list Internetfilter Extended IP access list Internetfilter permit tcp any 55 eq telnet deny tcp any any deny udp any 55 lt 1024 deny ip any any log F例例 显示快速以太网接口显示快速以太网接口0/0的输入统计信息的输入统计信息 Router# show ip access-list interfac

40、e FastEthernet0/0 in Extended IP access list 150 in 10 permit ip host any 30 permit ip host any (15 matches) 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL o配置命名ACL oACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置23 5.1 ACL5.1 ACL配置配置 F例例 清除访问列表清除访问列表101的计数器。的计数器。 Router# clear access-list cou

41、nters 101 在特权模式下在特权模式下 l前提模式：前提模式： l命令格式：命令格式： l功能：功能： 清除访问列表的计数器清除访问列表的计数器 clear access-list counters access-list-number | access-list-nameaccess-list-number access-list-name 访问列表访问列表 编号编号 访问列表访问列表 名称名称 1ACL配置 oACL概述 o配置标准ACL o应用ACL o配置扩展ACL o配置命名ACL oACL在网络中 的应用位置 监视与维护 ACL 0NAT配置 0实验练习 网络安全配置24 5

42、.2 NAT5.2 NAT配置配置 0ACL配置 1NAT配置 NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络地址转换网络地址转换(NAT,Network Address Translation) 静态转换静态转换Static Nat 动态转换动态转换Dynamic Nat 端口多路复用端口多路复用OverLoad NAT的实现方式的实现方式: 仅以增强的网络状态作为补充，而仅以增强的网络状态作为补充，而 忽略了忽略了IP地址端对端的重要性。地址端对端的重要性。 NAT解决方法的不足解决方法的不足: u In

43、side Local IP Address，内部本地地址，内部本地地址 u Inside Global IP Address，内部全局地址，内部全局地址 u Outside Local IP Address，外部本地地址，外部本地地址 u Outside Glocal IP Address，外部全局地址，外部全局地址 NAT使用下列地址定义：使用下列地址定义： 网络安全配置25 5.2 NAT5.2 NAT配置配置 静态静态NAT转换转换 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练

44、习 网络安全配置26 5.2 NAT5.2 NAT配置配置 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l静态静态NAT命令命令格式：格式： l功能：功能： 启用内部源地址的启用内部源地址的NAT静态转换静态转换 ip nat inside source static local-ip global-ip 为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式。形式。 no ip nat inside source static local-ip global-ip 内部网络内部网络 主机本地主机本地 IP地址地址 内部主内部主 机全局机全局 IP地址地址 local-

45、ip global-ip 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置27 5.2 NAT5.2 NAT配置配置 l端口静态端口静态NAT命令命令格式：格式： ip nat inside source static tcp | udp local-ip local-port global-ip global-port | interface global-port 为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式。形式。 no ip nat insid

46、e source static tcp | udp local-ip local-port global-ip global-port | interface global-port l网络静态网络静态NAT命令命令格式：格式： ip nat inside source static network local-network global-network mask 为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式。形式。 no ip nat inside source static network local-network global-network mask tcp u

47、dp local-portglobal-port 传输控制传输控制 协议协议 用户数据用户数据 报协议报协议 本地本地 TCP/UDP 端口号端口号 全局全局 TCP/UDP 端口号端口号 local-network global-network mask 本地子网本地子网 转换转换 全局子网全局子网 转换转换 子网转换子网转换 使用的使用的IP 网络掩码网络掩码 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置28 5.2 NAT5.2 NAT配置配置 在接口配置模式下

48、在接口配置模式下 l前提模式：前提模式： l命令命令格式：格式： l功能：功能： 指定接口对指定接口对NAT是流量来源或者目的是流量来源或者目的 ip nat inside | outside 为阻止接口能够转发，使用该命令的为阻止接口能够转发，使用该命令的no 形式。形式。 no ip nat inside | outside inside outside （可选项）表（可选项）表 明接口连接到明接口连接到 外部网络外部网络 （可选项）表（可选项）表 明接口连接到明接口连接到 内部网络内部网络 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址

49、复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置29 5.2 NAT5.2 NAT配置配置 F例例 静态静态NAT配置配置 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置30 5.2 NAT5.2 NAT配置配置 （1）配置静态）配置静态NAT映射映射 Router(config)#ip nat inside source static Router(config)#ip nat inside so

50、urce static （2）配置）配置NAT内部接口内部接口 Router(config)#interface fastethernet 0/1 Router(config-if)#ip nat inside （3）配置）配置NAT外部接口外部接口 Router(config-if)#interface serial 1/0 Router(config-if)#ip nat outside 在在PC0和和PC1上上ping （路由器（路由器Router1的的 串行接口串行接口1/0）,此时应该是通的，路由器此时应该是通的，路由

51、器 Router0 的输出信息如下的输出信息如下 ： Router#debug ip nat IP NAT debugging is on Router# NAT: s=-, d=0 NAT*: s=, d=-0 NAT: s=-, d=0 NAT*: s=, d=-0 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动

52、态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置31 5.2 NAT5.2 NAT配置配置 查看查看NAT表表 Router# show ip nat translations Pro Inside global Inside local Outside local Outside global - - - - - - 0ACL配置 1NAT配置 o NAT概述 内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 N

53、AT 0实验练习 网络安全配置32 5.2 NAT5.2 NAT配置配置 动态动态NAT转换转换 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置33 5.2 NAT5.2 NAT配置配置 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l命令命令格式：格式： l功能：功能： 定义定义NAT的的IP地址池地址池 ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-len

54、gth 为从池中移除一个或多个地址，使用该命令为从池中移除一个或多个地址，使用该命令 的的no形式。形式。 no ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length namestart-ipend-ip netmask netmask prefix-length prefix-length 地址池名地址池名 地址池中起始地址池中起始 IP地址地址 地址池中结束地址池中结束 IP地址地址 地址池所属网地址池所属网 络的网络掩码络的网络掩码 地址池所属网地址池所属网 络的网络掩码络的网络掩码

55、前缀长度前缀长度 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置34 5.2 NAT5.2 NAT配置配置 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l命令命令格式：格式： l功能：功能： 定义一个标准访问控制列表定义一个标准访问控制列表 以允许地址被转换以允许地址被转换 access-list access-list-number deny | permit source source-wildcard 为移除标准访问列表，使用该命令的为移除标准访问

56、列表，使用该命令的no形式。形式。 no access-list access-list-number 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置35 5.2 NAT5.2 NAT配置配置 在全局配置模式下在全局配置模式下 l前提模式：前提模式： l命令命令格式：格式： l功能：功能： 启用内部源地址的启用内部源地址的NAT ip nat inside source list access-list-number | access-list-name interf

57、ace type number | pool name overload 为移除到地址池动态关联，使用该命令的为移除到地址池动态关联，使用该命令的 no形式。形式。 no ip nat inside source list access-list-number | access-list-name interface type number | pool name overload access-list-number access-list-name interface type number pool name overload 标准标准IP访问列访问列 表的编号表的编号 标准标准IP访问

58、列访问列 表的名称表的名称 全局地址的接全局地址的接 口类型、编号口类型、编号 全局全局IP地址动地址动 态分配的地址态分配的地址 池的名称池的名称 （可选项）多（可选项）多 个本地地址使个本地地址使 用一个全局地用一个全局地 址址 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置36 5.2 NAT5.2 NAT配置配置 F例例 动态动态NAT配置配置 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换

59、修改转换超时 监视与维护 NAT 0实验练习 网络安全配置37 5.2 NAT5.2 NAT配置配置 配置动态配置动态NAT转换的地址池。转换的地址池。 Router(config)#ip nat pool NAT 00 netmask Router(config)#ip nat inside source list 1 pool NAT Router(config)#access-list 1 permit 55 Router(config)#interface fastetherne

60、t 0/1 Router(config-if)#ip nat inside Router(config-if)#interface serial 1/0 Router(config-if)#ip nat outside 配置动态配置动态NAT映射。映射。 允许动态允许动态NAT转换的内部地址范围。转换的内部地址范围。 0ACL配置 1NAT配置 o NAT概述 o内部源地址静 态转换 内部源地址动 态转换 内部源地址复 用动态转换 修改转换超时 监视与维护 NAT 0实验练习 网络安全配置38 5.2 NAT5.2 NAT配置配置 在在PC0和和PC1上上ping （路由器