PorttoApplicationMappingPAM概述常用的协议HTTP对应TCP

1、port to application mapping (pam)概述常用的协议http对应tcp端口号80，常用的协议telnet对应tcp端口号23,这些端口号，cisco设备也是遵守默认的端口号规则，而 这些协议对应的端口号，是任何时候都是可以随意改动的。在正常情况下， 看到tcp 80,就会把它当成http来处理，看到tcp 23,就会当成telnet来 处理。当设备上开启了 cbac后，cbac是根据相应的协议来做好会话记 录，从而在acl为其返回的流量打开缺口的。比如己经配置cbac检 测http协议，也就是说当设备检测到有tcp 80的数据通过时，就会记录下 会话，并且为其打开缺

2、口，而检测tcp其它端口号，是不会这么做的。但是, 在某些特殊时候，如果你发起的http会话，端口号己经被改变，如己经改 成1000,那么这个时候你发起的http会话就是tcp1000,对于tcp 1000这 样的数据，在已配置好的cbac屮，是不会为其记录并打开缺口的，如果要 让cbac也知道你现在所使用的http已经不再是标准的端口号了，但还希 望cbac为你服务，那么就必须手动告诉设备你己经将http改为了 tcp 1000 o这个功能就是靠pam来实现的。原本的cbac只支持协议的标准端口，但是要让cbac支持非常规端 口协议，就需要pam来完成这个工作。要让设备知道相应协议是用哪些端

3、口号，可以配置协议和对应的端 口号，如果没有人为配置，系统中也同样会存在这样的对应表。表里面提供 三种信息，分别为：系统定义的映射用户定义的映射主机映射其中系统定义的就是标准的协议端口号，是不能更改的；而用户定义的可以随意更改和删除，如果同时存在系统定义的和用户定 义的，那么会优先使用用户定义的。主机映射就是可以使用重复端口，即是基于每台主机的，比如定义某台主机http使用tcp 1000,而定义另夕i、一台主机ftp使用tcp 1000o也可以为某个协议定义一个范围的端口号，通过多次输入命令实现。fo/o121 12f0/说明：在r3上配置nat,让telnet到13.1.

4、1.100的结果被转到 telnet 1 在r3上配置nat说明：配置让telnet到00,目标端口为1000的，结果被转到 telnet 定义nat方向r3(config)#int f0 力r3(config-if)#ip nat insider3(config)#int fo/1r3(config-if)#ip nat outside(2)配置映射r3(config)#ip nat inside source static tcp 23 00 1000 说明：当 telnet 00 1000

5、时，结果为 telnet 到 2. 测试telnet结果(1)测试从 r2 telnet 00,目标端口为 woor2# telnet 00 1000trying 00,1000 . open r4>说明：从结果中看出,当r2 telnet 00,目标端口为1000时,结 果为结果为telnet 到 34.1丄4。3. 配置cbac说明：在r1上配置cbac,拒绝从f0/1进来的所有数据，但是记录r2发起的telnet数据，并允许其返回(1) 配置acl拒绝所有数据进入rl(config)#access-li

6、st 100 deny ip any anyrl(config-if)#ip access-group 100 in(2) 配置cbac允许telnet返回rl(config)#ip inspect name ccie telnet timeout 100rl(config)#int fo/1rl(config-if)#ip inspect ccie out4. 测试cbac结果(1)测试r2 telnet 00,目标端口为1000时,cbac是否能为其记录会话并打开缺口r2# telnet 00 1000trying 00,1000.% con

7、nection timed out; remote host not respondingr2#说明：从结果屮看出，cbac并不会为端口号为1000的数据创建返回缺口，因为已配置的cbac只记录telnet,也就是标准tcp 23端口，而现在是tcp 1000端口，所以并不被关心。5. 配置pam说明：已配置的cbac只记录telnet,也就是tcp为23端口的数据包，而 现在的telnet为tcp端口号1000,所以并没有被记录，因此配置pam, 改变设备的默认telnet端口，应改为1000,从而让cbac根据此端口映 射表作记录。(1)配置telnet端口号为1000rl(config)

8、#ip port-map telnet port tcp 10006. 测试cbac支持pam非常规端口(1) 再次测试r2 telnet 00,目标端口为1000时，cbac是否打开 缺口r2#tel net 00 1000trying 00,1000 . openr4>说明：可以看出，cbac已经认为telnet为tcp端口号1000,并成功为 其打开缺口。(2) 查看cbac中的会话rl#sh ip inspect sessionsestablished sessionssession 66c93de4 (:17502

9、)=>(00:1000) telnet sis_openrl#说明：看到cbac中成功理解telnet为端口号1000。7 .定义范围端口给协议(1)定义端口号8001到8004都给httprl(config)#ip port-map http port 8001rl(config)#ip port-map http port 8002rl(config)#ip port-map http port 8003rl(config)#ip port-map http port 80048 定义到主机映射说明：可以让同一个端口被不同主机使用(1) 定义主机的http使用端口号8000rl(config)#access-list 10 permit rl(config)#ip p